**Unterstützung für die Verbesserung dieser Seite beitragen** 

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Um zu diesem Benutzerhandbuch beizutragen, wählen Sie den GitHub Link **Diese Seite bearbeiten auf**, der sich im rechten Bereich jeder Seite befindet.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Die von Amazon EKS erstellten RBAC-Rollen und -Benutzer verstehen
<a name="default-roles-users"></a>

Wenn Sie einen Kubernetes-Cluster erstellen, werden für das ordnungsgemäße Funktionieren von Kubernetes mehrere Kubernetes-Standardidentitäten in diesem Cluster erstellt. Amazon EKS erstellt Kubernetes-Identitäten für jede seiner Standardkomponenten. Die Identitäten stellen eine rollenbasierte Autorisierungskontrolle (RBAC) von Kubernetes für die Cluster-Komponenten bereit. Weitere Informationen finden Sie unter [Verwendung der RBAC-Autorisierung](https://kubernetes.io/docs/reference/access-authn-authz/rbac/) in der Kubernetes-Dokumentation.

Wenn Sie optionale [Add-Ons](eks-add-ons.md) zu Ihrem Cluster installieren, werden Ihrem Cluster möglicherweise zusätzliche Kubernetes-Identitäten hinzugefügt. Weitere Informationen zu Identitäten, die in diesem Thema nicht behandelt werden, finden Sie in der Dokumentation des Add-Ons.

Sie können die Liste der von Amazon EKS erstellten Kubernetes-Identitäten auf Ihrem Cluster mit dem `kubectl` Befehlszeilentool AWS-Managementkonsole oder anzeigen. Alle Benutzeridentitäten erscheinen in den `kube` Audit-Logs, die Ihnen über Amazon CloudWatch zur Verfügung stehen.

## AWS-Managementkonsole
<a name="default-role-users-console"></a>

### Voraussetzung
<a name="_prerequisite"></a>

Der von Ihnen verwendete [IAM-Prinzipal](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#iam-term-principal) muss über die unter [Erforderliche Berechtigungen](view-kubernetes-resources.md#view-kubernetes-resources-permissions) beschriebenen Berechtigungen verfügen.

### Um von Amazon EKS erstellte Identitäten anzuzeigen, verwenden Sie den AWS-Managementkonsole
<a name="to_view_amazon_eks_created_identities_using_the_shared_consolelong"></a>

1. Öffnen Sie die [Amazon-EKS-Konsole](https://console.aws.amazon.com/eks/home#/clusters).

1. Wählen Sie in der Liste **Clusters** (Cluster) den Cluster aus, der die anzuzeigenden Identitäten enthält.

1. Wählen Sie die Registerkarte **Resources (Ressourcen)** aus.

1. Wählen Sie unter **Resource types** (Ressourcentypen) die Option **Authorization** (Autorisierung) aus.

1. Wählen Sie **ClusterRoles**, **ClusterRoleBindings**, **Rollen** oder **RoleBindings**. Alle Ressourcen, denen **eks** vorangestellt ist, wurden von Amazon EKS erstellt. Weitere von Amazon EKS erstellte Identitätsressourcen sind:
   + Der **ClusterRole**und **ClusterRoleBinding**benannte **aws-node**. Die **aws-node**-Ressourcen unterstützen das [Amazon-VPC-CNI-Plugin für Kubernetes](managing-vpc-cni.md), das Amazon EKS auf allen Clustern installiert.
   + Ein **ClusterRole**benannter **vpc-resource-controller-role**und ein benannter. **ClusterRoleBinding**vpc-resource-controller-rolebinding**** Diese Ressourcen unterstützen den [Amazon-VPC-Ressourcencontroller](https://github.com/aws/amazon-vpc-resource-controller-k8s), den Amazon EKS auf allen Clustern installiert.

   Zusätzlich zu den Ressourcen, die Sie in der Konsole sehen, sind die folgenden speziellen Benutzeridentitäten in Ihrem Cluster vorhanden, obwohl sie in der Konfiguration des Clusters nicht sichtbar sind:
   +  ** `eks:cluster-bootstrap` ** – Wird für `kubectl`-Vorgänge während des Cluster-Bootstraps verwendet.
   +  ** `eks:support-engineer` ** – Wird für Cluster-Management-Operationen verwendet.

1. Wählen Sie eine bestimmte Ressource aus, um Details dazu anzuzeigen. Standardmäßig werden Ihnen Informationen in der **Strukturierten Ansicht** angezeigt. In der oberen rechten Ecke der Detailseite können Sie die **Raw view** (Rohansicht) auswählen, um alle Informationen für die Ressource anzuzeigen.

## Kubectl
<a name="default-role-users-kubectl"></a>

### Voraussetzung
<a name="_prerequisite_2"></a>

Die Entität, die Sie verwenden (AWS Identity and Access Management (IAM) oder OpenID Connect (OIDC)), um die Kubernetes-Ressourcen auf dem Cluster aufzulisten, muss von IAM oder Ihrem OIDC-Identitätsanbieter authentifiziert werden. Der Entität müssen Berechtigungen zur Verwendung der Kubernetes-Verben `get` und `list` für die `Role`-, `ClusterRole`-, `RoleBinding`- und `ClusterRoleBinding`-Ressourcen in Ihrem Cluster gewährt werden, mit denen die Entität arbeiten soll. Weitere Informationen zum Gewähren von Zugriff auf IAM-Entitäten auf Ihren Cluster finden Sie unter [Gewähren Sie IAM-Benutzern und -Rollen Zugriff auf Kubernetes APIs](grant-k8s-access.md). Weitere Informationen zum Gewähren von Zugriff auf Ihren Cluster durch Entitäten, die von Ihrem eigenen OIDC-Anbieter authentifiziert wurden, finden Sie unter [Benutzern Zugriff auf Kubernetes mit einem externen OIDC-Anbieter gewähren](authenticate-oidc-identity-provider.md).

### So zeigen Sie von Amazon EKS erstellte Identitäten mit dem `kubectl` an
<a name="_to_view_amazon_eks_created_identities_using_kubectl"></a>

Führen Sie den Region aus, die Sie anzeigen möchten. Alle zurückgegebenen Ressourcen, denen **eks** vorangestellt ist, wurden von Amazon EKS erstellt. Zusätzlich zu den Ressourcen, die in der Ausgabe der Befehle zurückgegeben werden, sind die folgenden speziellen Benutzeridentitäten in Ihrem Cluster vorhanden, obwohl sie in der Konfiguration des Clusters nicht sichtbar sind:
+  ** `eks:cluster-bootstrap` ** – Wird für `kubectl`-Vorgänge während des Cluster-Bootstraps verwendet.
+  ** `eks:support-engineer` ** – Wird für Cluster-Management-Operationen verwendet.

 **ClusterRoles**— `ClusterRoles` sind auf Ihren Cluster beschränkt, sodass jede für eine Rolle erteilte Berechtigung für Ressourcen in jedem Kubernetes-Namespace auf dem Cluster gilt.

Der folgende Befehl gibt alle von Amazon EKS erstellten Kubernetes `ClusterRoles` in Ihrem Cluster zurück.

```
kubectl get clusterroles | grep eks
```

Zusätzlich zu dem in der Ausgabe zurückgegebenen `ClusterRoles`, dem etwas vorangestellt ist, sind die folgenden `ClusterRoles` vorhanden.
+  ** `aws-node` ** – Diese `ClusterRole` unterstützt das [Amazon-VPC-CNI-Plugin für Kubernetes](managing-vpc-cni.md), das Amazon EKS in allen Clustern installiert.
+  **`vpc-resource-controller-role`** – Diese `ClusterRole` unterstützt den [Amazon-VPC-Ressourcen-Controller](https://github.com/aws/amazon-vpc-resource-controller-k8s), den Amazon EKS in allen Clustern installiert.

Um die Spezifikation für a zu sehen`ClusterRole`, ersetzen Sie den folgenden Befehl durch einen, der *eks:k8s-metrics* in der Ausgabe des vorherigen Befehls `ClusterRole` zurückgegeben wurde. Das folgende Beispiel gibt die Spezifikation für die zurück *eks:k8s-metrics*`ClusterRole`.

```
kubectl describe clusterrole eks:k8s-metrics
```

Eine Beispielausgabe sieht wie folgt aus.

```
Name:         eks:k8s-metrics
Labels:       <none>
Annotations:  <none>
PolicyRule:
  Resources         Non-Resource URLs  Resource Names  Verbs
  ---------         -----------------  --------------  -----
                    [/metrics]         []              [get]
  endpoints         []                 []              [list]
  nodes             []                 []              [list]
  pods              []                 []              [list]
  deployments.apps  []                 []              [list]
```

 **ClusterRoleBindings**— `ClusterRoleBindings` sind auf Ihren Cluster beschränkt.

Der folgende Befehl gibt alle von Amazon EKS erstellten Kubernetes `ClusterRoleBindings` in Ihrem Cluster zurück.

```
kubectl get clusterrolebindings | grep eks
```

Zusätzlich zu dem in der Ausgabe zurückgegebenen `ClusterRoleBindings`, sind die folgenden `ClusterRoleBindings` vorhanden.
+  ** `aws-node` ** – Diese `ClusterRoleBinding` unterstützt das [Amazon-VPC-CNI-Plugin für Kubernetes](managing-vpc-cni.md), das Amazon EKS in allen Clustern installiert.
+  **`vpc-resource-controller-rolebinding`** – Diese `ClusterRoleBinding` unterstützt den [Amazon-VPC-Ressourcen-Controller](https://github.com/aws/amazon-vpc-resource-controller-k8s), den Amazon EKS in allen Clustern installiert.

Um die Spezifikation für a zu sehen`ClusterRoleBinding`, ersetzen Sie *eks:k8s-metrics* den folgenden Befehl durch einen, der in der Ausgabe des vorherigen Befehls `ClusterRoleBinding` zurückgegeben wurde. Das folgende Beispiel gibt die Spezifikation für die zurück *eks:k8s-metrics*`ClusterRoleBinding`.

```
kubectl describe clusterrolebinding eks:k8s-metrics
```

Eine Beispielausgabe sieht wie folgt aus.

```
Name:         eks:k8s-metrics
Labels:       <none>
Annotations:  <none>
Role:
  Kind:  ClusterRole
  Name:  eks:k8s-metrics
Subjects:
  Kind  Name             Namespace
  ----  ----             ---------
  User  eks:k8s-metrics
```

 **Rollen** – `Roles` sind auf einen Kubernetes-Namespace beschränkt. Alle mit `Roles` erstellten Amazon EKS sind auf den `kube-system`-Namespace beschränkt.

Der folgende Befehl gibt alle von Amazon EKS erstellten Kubernetes `Roles` in Ihrem Cluster zurück.

```
kubectl get roles -n kube-system | grep eks
```

Um die Spezifikation für a zu sehen`Role`, ersetzen Sie *eks:k8s-metrics* den folgenden Befehl durch den Namen von a, der in der Ausgabe des vorherigen Befehls `Role` zurückgegeben wurde. Das folgende Beispiel gibt die Spezifikation für die zurück *eks:k8s-metrics*`Role`.

```
kubectl describe role eks:k8s-metrics -n kube-system
```

Eine Beispielausgabe sieht wie folgt aus.

```
Name:         eks:k8s-metrics
Labels:       <none>
Annotations:  <none>
PolicyRule:
  Resources         Non-Resource URLs  Resource Names             Verbs
  ---------         -----------------  --------------             -----
  daemonsets.apps   []                 [aws-node]                 [get]
  deployments.apps  []                 [vpc-resource-controller]  [get]
```

 **RoleBindings**— `RoleBindings` sind auf einen Kubernetes-Namespace beschränkt. Alle mit `RoleBindings` erstellten Amazon EKS sind auf den `kube-system`-Namespace beschränkt.

Der folgende Befehl gibt alle von Amazon EKS erstellten Kubernetes `RoleBindings` in Ihrem Cluster zurück.

```
kubectl get rolebindings -n kube-system | grep eks
```

Um die Spezifikation für a zu sehen`RoleBinding`, ersetzen Sie den folgenden Befehl durch einen, der *eks:k8s-metrics* in der Ausgabe des vorherigen Befehls `RoleBinding` zurückgegeben wurde. Das folgende Beispiel gibt die Spezifikation für die zurück *eks:k8s-metrics*`RoleBinding`.

```
kubectl describe rolebinding eks:k8s-metrics -n kube-system
```

Eine Beispielausgabe sieht wie folgt aus.

```
Name:         eks:k8s-metrics
Labels:       <none>
Annotations:  <none>
Role:
  Kind:  Role
  Name:  eks:k8s-metrics
Subjects:
  Kind  Name             Namespace
  ----  ----             ---------
  User  eks:k8s-metrics
```