**Aidez à améliorer cette page**
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien **Modifier cette page sur** qui se trouve dans le volet droit de chaque page.
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Comprendre les rôles RBAC et les utilisateurs créés par Amazon EKS
Lorsque vous créez un cluster Kubernetes, plusieurs identités Kubernetes par défaut sont créées sur ce cluster afin d’assurer le bon fonctionnement de Kubernetes. Amazon EKS crée des identités Kubernetes pour chacun de ses composants par défaut. Les identités fournissent un contrôle d’autorisation basé sur les rôles (RBAC) Kubernetes pour les composants du cluster. Pour plus d'informations, consultez [Utilisation de l'autorisation RBAC](https://kubernetes.io/docs/reference/access-authn-authz/rbac/) dans la documentation Kubernetes.
Lorsque vous installez des [modules complémentaires](eks-add-ons.md) optionnels sur votre cluster, des identités Kubernetes supplémentaires peuvent être ajoutées à votre cluster. Pour plus d'informations sur les identités non abordées dans cette rubrique, consultez la documentation du module complémentaire.
Vous pouvez consulter la liste des identités Kubernetes créées par Amazon EKS sur votre cluster à l'aide de l'outil de ligne de `kubectl` commande AWS Management Console or. Toutes les identités des utilisateurs apparaissent dans les journaux `kube` d'audit mis à votre disposition via Amazon CloudWatch.
## AWS Management Console
### Prérequis
Le [principal IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#iam-term-principal) que vous utilisez doit disposer des autorisations décrites dans la section [Autorisations requises](view-kubernetes-resources.md#view-kubernetes-resources-permissions).
### Pour consulter les identités créées par Amazon EKS à l'aide du AWS Management Console
1. Ouvrez la [console Amazon EKS](https://console.aws.amazon.com/eks/home#/clusters).
1. Dans la liste **Clusters**, sélectionnez le cluster qui contient les identités que vous souhaitez afficher.
1. Sélectionnez l'onglet **Ressources**.
1. Sous **Resource types** (Types de ressources), sélectionnez **Authorization** (Autorisation).
1. Choisissez, **ClusterRoles**ClusterRoleBindings****, **Rôles** ou **RoleBindings**. Toutes les ressources précédées de **eks** sont créées par Amazon EKS. Les ressources d'identité supplémentaires créées par Amazon EKS sont les suivantes :
+ Le **ClusterRole**et **ClusterRoleBinding**nommé **aws-node**. Les ressources **aws-node** prennent en charge le plug-in [Amazon VPC CNI pour Kubernetes](managing-vpc-cni.md), qu’Amazon EKS installe sur tous les clusters.
+ Un **ClusterRole**nom **vpc-resource-controller-role**et un **ClusterRoleBinding**nom **vpc-resource-controller-rolebinding**. Ces ressources prennent en charge le [contrôleur de ressources Amazon VPC](https://github.com/aws/amazon-vpc-resource-controller-k8s), qu'Amazon EKS installe sur tous les clusters.
Outre les ressources que vous voyez dans la console, les identités utilisateur spéciales suivantes existent sur votre cluster, bien qu’elles ne soient pas visibles dans la configuration du cluster :
+ ** `eks:cluster-bootstrap` ** : utilisé pour les opérations `kubectl` pendant le démarrage du cluster.
+ ** `eks:support-engineer` ** : utilisée pour les opérations de gestion des clusters.
1. Choisissez une ressource spécifique pour afficher les détails la concernant. Par défaut, les informations s’affichent en mode **Structured view (Vue structurée)**. Dans le coin supérieur droit de la page de détails, vous pouvez sélectionner **Raw view** (Vue brute) pour afficher toutes les informations relative à la ressource.
## Kubectl
### Prérequis
L'entité que vous utilisez (AWS Identity and Access Management (IAM) ou OpenID Connect (OIDC)) pour répertorier les ressources Kubernetes du cluster doit être authentifiée par IAM ou par votre fournisseur d'identité OIDC. L’entité doit disposer des autorisations nécessaires pour utiliser Kubernetes `get` et les verbes `list` pour les ressources `Role`, `ClusterRole`, `RoleBinding`, et `ClusterRoleBinding` de votre cluster avec lesquelles vous souhaitez que l’entité fonctionne. Pour plus d'informations sur la façon dont vous pouvez autoriser votre cluster à accéder aux entités IAM, consultez [Accorder aux utilisateurs et aux rôles IAM l'accès à Kubernetes APIs](grant-k8s-access.md). Pour plus d’informations sur l’octroi à des entités authentifiées par votre propre fournisseur OIDC d’un accès à votre cluster, consultez [Accès des utilisateurs à Kubernetes via un fournisseur OIDC externe](authenticate-oidc-identity-provider.md).
### Pour consulter les identités créées par Amazon EKS à l'aide de `kubectl`
Exécutez la commande correspondant au type de ressource que vous souhaitez consulter. Toutes les ressources renvoyées qui sont précédées de **eks** sont créées par Amazon EKS. Outre les ressources renvoyées dans la sortie des commandes, les identités d’utilisateur spéciales suivantes sont disponibles sur votre cluster, même si elles n’apparaissent pas dans la configuration du cluster :
+ ** `eks:cluster-bootstrap` ** : utilisé pour les opérations `kubectl` pendant le démarrage du cluster.
+ ** `eks:support-engineer` ** : utilisée pour les opérations de gestion des clusters.
**ClusterRoles**— `ClusterRoles` sont limités à votre cluster, de sorte que toute autorisation accordée à un rôle s'applique aux ressources de n'importe quel espace de noms Kubernetes du cluster.
La commande suivante renvoie tous les `ClusterRoles` Kubernetes créés par Amazon EKS sur votre cluster.
```
kubectl get clusterroles | grep eks
```
Outre les `ClusterRoles` renvoyés dans la sortie, les `ClusterRoles` suivants sont disponibles.
+ ** `aws-node` ** : ce `ClusterRole` prend en charge le plug-in [Amazon VPC CNI pour Kubernetes](managing-vpc-cni.md), qu’Amazon EKS installe sur tous les clusters.
+ ** `vpc-resource-controller-role` ** : ce `ClusterRole` prend en charge le [contrôleur de ressources Amazon VPC](https://github.com/aws/amazon-vpc-resource-controller-k8s), qu’Amazon EKS installe sur tous les clusters.
Pour voir la spécification de a`ClusterRole`, remplacez *eks:k8s-metrics* la commande suivante par un `ClusterRole` renvoyé dans la sortie de la commande précédente. L'exemple suivant renvoie la spécification du *eks:k8s-metrics*`ClusterRole`.
```
kubectl describe clusterrole eks:k8s-metrics
```
L'exemple qui suit illustre un résultat.
```
Name: eks:k8s-metrics
Labels:
Annotations:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
[/metrics] [] [get]
endpoints [] [] [list]
nodes [] [] [list]
pods [] [] [list]
deployments.apps [] [] [list]
```
**ClusterRoleBindings**— `ClusterRoleBindings` sont limités à votre cluster.
La commande suivante renvoie tous les Kubernetes `ClusterRoleBindings` créés par Amazon EKS sur votre cluster.
```
kubectl get clusterrolebindings | grep eks
```
En plus des `ClusterRoleBindings` renvoyés dans la sortie, les `ClusterRoleBindings` suivants sont disponibles.
+ ** `aws-node` ** : ce `ClusterRoleBinding` prend en charge le plug-in [Amazon VPC CNI pour Kubernetes](managing-vpc-cni.md), qu’Amazon EKS installe sur tous les clusters.
+ ** `vpc-resource-controller-rolebinding` ** : ce `ClusterRoleBinding` prend en charge le [contrôleur de ressources Amazon VPC](https://github.com/aws/amazon-vpc-resource-controller-k8s), qu’Amazon EKS installe sur tous les clusters.
Pour voir la spécification de a`ClusterRoleBinding`, remplacez *eks:k8s-metrics* la commande suivante par un `ClusterRoleBinding` renvoyé dans la sortie de la commande précédente. L'exemple suivant renvoie la spécification du *eks:k8s-metrics*`ClusterRoleBinding`.
```
kubectl describe clusterrolebinding eks:k8s-metrics
```
L'exemple qui suit illustre un résultat.
```
Name: eks:k8s-metrics
Labels:
Annotations:
Role:
Kind: ClusterRole
Name: eks:k8s-metrics
Subjects:
Kind Name Namespace
---- ---- ---------
User eks:k8s-metrics
```
**Rôles** : les `Roles` sont limités à un espace de noms Kubernetes. Tous les `Roles` créés par Amazon EKS sont limités à l'espace de noms `kube-system`.
La commande suivante renvoie tous les Kubernetes `Roles` créés par Amazon EKS sur votre cluster.
```
kubectl get roles -n kube-system | grep eks
```
Pour voir la spécification de a`Role`, remplacez *eks:k8s-metrics* la commande suivante par le nom de a `Role` renvoyé dans le résultat de la commande précédente. L'exemple suivant renvoie la spécification du *eks:k8s-metrics*`Role`.
```
kubectl describe role eks:k8s-metrics -n kube-system
```
L'exemple qui suit illustre un résultat.
```
Name: eks:k8s-metrics
Labels:
Annotations:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
daemonsets.apps [] [aws-node] [get]
deployments.apps [] [vpc-resource-controller] [get]
```
**RoleBindings**— `RoleBindings` sont limités à un espace de noms Kubernetes. Tous les `RoleBindings` créés par Amazon EKS sont limités à l'espace de noms `kube-system`.
La commande suivante renvoie tous les Kubernetes `RoleBindings` créés par Amazon EKS sur votre cluster.
```
kubectl get rolebindings -n kube-system | grep eks
```
Pour voir la spécification de a`RoleBinding`, remplacez *eks:k8s-metrics* la commande suivante par un `RoleBinding` renvoyé dans la sortie de la commande précédente. L'exemple suivant renvoie la spécification du *eks:k8s-metrics*`RoleBinding`.
```
kubectl describe rolebinding eks:k8s-metrics -n kube-system
```
L'exemple qui suit illustre un résultat.
```
Name: eks:k8s-metrics
Labels:
Annotations:
Role:
Kind: Role
Name: eks:k8s-metrics
Subjects:
Kind Name Namespace
---- ---- ---------
User eks:k8s-metrics
```