Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Ruoli e utenti predefiniti Kubernetes creati da Amazon EKS
Quando crei un cluster Kubernetes, su tale cluster vengono create diverse identità Kubernetes predefinite per il corretto funzionamento di Kubernetes. Amazon EKS crea identità Kubernetes per ciascuno dei suoi componenti predefiniti. Le identità forniscono un controllo delle autorizzazioni basato sui ruoli (RBAC) Kubernetes per i componenti del cluster. Per ulteriori informazioni, consulta Utilizzo dell'autorizzazione RBAC
Quando installi componenti aggiuntivi opzionali nel tuo cluster, è possibile che vengano aggiunte identità supplementari Kubernetes al cluster. Per ulteriori informazioni sulle identità non trattate in questo argomento, consulta la documentazione del componente aggiuntivo.
Puoi visualizzare l'elenco delle identità Kubernetes create da Amazon EKS sul tuo cluster utilizzando lo strumento a riga di comando della AWS Management Console o kubectl
. Tutte le identità degli utenti vengono visualizzate nei registri di kube
controllo disponibili tramite Amazon. CloudWatch
- AWS Management Console
-
Prerequisito
Il principale IAM che devi utilizzare deve disporre delle autorizzazioni descritte in Autorizzazioni richieste.
Per visualizzare le identità create da Amazon EKS utilizzando AWS Management Console
Apri la console Amazon EKS all'indirizzo https://console.aws.amazon.com/eks/home#/clusters
. -
Nell'elenco Cluster, seleziona il cluster contenente le identità da visualizzare.
-
Scegliere la scheda Resources (Risorse).
-
In Resource types (Tipi di risorse), scegli Authorization (Autorizzazione).
-
Scegli, ClusterRoles, ClusterRoleBindings, Ruoli o RoleBindings. Tutte le risorse con il prefisso eks sono create da Amazon EKS. Le risorse di identità supplementari create da Amazon EKS sono:
La ClusterRolee ClusterRoleBindingdenominata aws-node. Le risorse aws-node supportano il Amazon VPC CNI plugin for Kubernetes, che Amazon EKS installa su tutti i cluster.
-
Un ClusterRolenome vpc-resource-controller-rolee un ClusterRoleBindingnome. vpc-resource-controller-rolebinding Queste risorse supportano il Amazon VPC resource controller
(Controller risorse Amazon VPC), che Amazon EKS installa su tutti i cluster.
Oltre alle risorse visualizzate nella console, nel cluster esistono le seguenti identità utente speciali, anche se non sono visibili nella configurazione del cluster:
-
eks:cluster-bootstrap
: utilizzato per operazionikubectl
durante il bootstrap del cluster. -
eks:support-engineer
: utilizzato per le operazioni di gestione del cluster.
-
Scegli una risorsa specifica per visualizzarne i dettagli. Per impostazione predefinita, le informazioni sono mostrate in Structured view (Visualizzazione strutturata). Nell'angolo superiore destro della pagina dei dettagli puoi scegliere la Raw view (Visualizzazione non elaborata) per vedere tutte le informazioni per la risorsa.
- Kubectl
-
Prerequisito
L'entità che utilizzi (AWS Identity and Access Management (IAM) o OpenID Connect (OIDC)) per elencare le Kubernetes risorse sul cluster deve essere autenticata da IAM o dal tuo provider di OIDC identità. All'entità devono essere concesse le autorizzazioni per utilizzare i verbi
get
elist
di Kubernetes per le risorseRole
,ClusterRole
,RoleBinding
eClusterRoleBinding
nel cluster che devono essere utilizzate dall'entità. Per ulteriori informazioni sulla concessione alle entità IAM dell'accesso al tuo cluster, consulta Concedi l'accesso alle Kubernetes API . Per ulteriori informazioni sulla concessione alle entità autenticate dal tuo provider OIDC dell'accesso al tuo cluster, consulta Autentica gli utenti del tuo cluster da un provider di OpenID Connect identità.Come visualizzare le identità create da Amazon EKS tramite
kubectl
Esegui il comando per il tipo di risorsa da visualizzare. Tutte le risorse restituite con il prefisso eks sono create da Amazon EKS. Oltre alle risorse restituite nell'output dai comandi, nel cluster esistono le seguenti identità utente speciali, anche se non sono visibili nella configurazione del cluster:
-
eks:cluster-bootstrap
– Utilizzato per operazionikubectl
durante il bootstrap del cluster. -
eks:support-engineer
: utilizzato per le operazioni di gestione del cluster.
ClusterRoles—
ClusterRoles
sono limitati al cluster, quindi qualsiasi autorizzazione concessa a un ruolo si applica alle risorse in qualsiasi spazio dei Kubernetes nomi del cluster.Il comando seguente restituisce tutti i
ClusterRoles
di Kubernetes creati da Amazon EKS nel tuo cluster.kubectl get clusterroles | grep eks
Oltre ai
ClusterRoles
restituiti nell'output con prefisso, esistono i seguentiClusterRoles
.-
aws-node
: questoClusterRole
supporta il Amazon VPC CNI plugin for Kubernetes, che Amazon EKS installa su tutti i cluster. -
vpc-resource-controller-role
: questoClusterRole
supporta il Amazon VPC resource controller(Controller risorse Amazon VPC), che Amazon EKS installa su tutti i cluster.
Per visualizzare le specifiche di un
ClusterRole
, sostituiscieks:k8s-metrics
nel comando seguente con unClusterRole
restituito nell'output del comando precedente. L'esempio seguente restituisce la specifica perClusterRole
eks:k8s-metrics
.kubectl describe clusterrole
eks:k8s-metrics
Di seguito viene riportato un output di esempio:
Name: eks:k8s-metrics Labels: <none> Annotations: <none> PolicyRule: Resources Non-Resource URLs Resource Names Verbs --------- ----------------- -------------- ----- [/metrics] [] [get] endpoints [] [] [list] nodes [] [] [list] pods [] [] [list] deployments.apps [] [] [list]
ClusterRoleBindings—
ClusterRoleBindings
sono limitati al cluster.Il comando seguente restituisce tutti i
ClusterRoleBindings
Kubernetes creati da Amazon EKS nel tuo cluster.kubectl get clusterrolebindings | grep eks
Oltre ai
ClusterRoleBindings
restituiti nell'output, esistono i seguentiClusterRoleBindings
.-
aws-node
–ClusterRoleBinding
Supporta il Amazon VPC CNI plugin for Kubernetes, che Amazon EKS installa su tutti i cluster. -
vpc-resource-controller-rolebinding
: questoClusterRoleBinding
supporta il Amazon VPC resource controller(Controller risorse Amazon VPC), che Amazon EKS installa su tutti i cluster.
Per visualizzare le specifiche di un
ClusterRoleBinding
, sostituiscieks:k8s-metrics
nel comando seguente con unClusterRoleBinding
restituito nell'output del comando precedente. L'esempio seguente restituisce la specifica perClusterRoleBinding
eks:k8s-metrics
.kubectl describe clusterrolebinding
eks:k8s-metrics
Di seguito viene riportato un output di esempio:
Name: eks:k8s-metrics Labels: <none> Annotations: <none> Role: Kind: ClusterRole Name: eks:k8s-metrics Subjects: Kind Name Namespace ---- ---- --------- User eks:k8s-metrics
Roles (Ruoli): i
Roles
sono racchiusi in uno spazio dei nomi Kubernetes. Tutti iRoles
creati da Amazon EKS sono racchiusi nello spazio dei nomikube-system
.Il comando seguente restituisce tutti i
Roles
Kubernetes creati da Amazon EKS nel tuo cluster.kubectl get roles -n kube-system | grep eks
Per visualizzare le specifiche di un
Role
, sostituiscieks:k8s-metrics
nel comando seguente con unRole
restituito nell'output del comando precedente. L'esempio seguente restituisce la specifica pereks:k8s-metrics
Role
.kubectl describe role
eks:k8s-metrics
-n kube-systemDi seguito viene riportato un output di esempio:
Name: eks:k8s-metrics Labels: <none> Annotations: <none> PolicyRule: Resources Non-Resource URLs Resource Names Verbs --------- ----------------- -------------- ----- daemonsets.apps [] [aws-node] [get] deployments.apps [] [vpc-resource-controller] [get]
RoleBindings—
RoleBindings
sono limitati a uno Kubernetes spazio dei nomi. Tutti iRoleBindings
creati da Amazon EKS rientrano nell'ambito dello spazio nomikube-system
.Il comando seguente restituisce tutti i
RoleBindings
Kubernetes creati da Amazon EKS nel tuo cluster.kubectl get rolebindings -n kube-system | grep eks
Per visualizzare le specifiche di un
RoleBinding
, sostituiscieks:k8s-metrics
nel comando seguente con unRoleBinding
restituito nell'output del comando precedente. L'esempio seguente restituisce la specifica perRoleBinding
eks:k8s-metrics
.kubectl describe rolebinding
-n kube-systemeks:k8s-metrics
Di seguito viene riportato un output di esempio:
Name: eks:k8s-metrics Labels: <none> Annotations: <none> Role: Kind: Role Name: eks:k8s-metrics Subjects: Kind Name Namespace ---- ---- --------- User eks:k8s-metrics
-