**Bantu tingkatkan halaman ini** 

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Untuk berkontribusi pada panduan pengguna ini, pilih **Edit halaman ini pada GitHub** tautan yang terletak di panel kanan setiap halaman.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Memahami peran dan pengguna RBAC yang dibuat Amazon EKS
<a name="default-roles-users"></a>

Saat Anda membuat klaster Kubernetes, beberapa identitas Kubernetes default dibuat di klaster tersebut agar Kubernetes berfungsi dengan baik. Amazon EKS membuat identitas Kubernetes untuk setiap komponen defaultnya. Identitas menyediakan kontrol otorisasi berbasis peran Kubernetes (RBAC) untuk komponen cluster. Untuk informasi selengkapnya, lihat [Menggunakan Otorisasi RBAC](https://kubernetes.io/docs/reference/access-authn-authz/rbac/) dalam dokumentasi Kubernetes.

Saat Anda menginstal [add-on](eks-add-ons.md) opsional ke klaster Anda, identitas Kubernetes tambahan mungkin ditambahkan ke klaster Anda. Untuk informasi selengkapnya tentang identitas yang tidak dibahas oleh topik ini, lihat dokumentasi untuk add-on.

Anda dapat melihat daftar identitas Kubernetes yang dibuat Amazon EKS di klaster Anda menggunakan alat baris perintah Konsol Manajemen AWS atau`kubectl`. Semua identitas pengguna muncul di log `kube` audit yang tersedia untuk Anda melalui Amazon CloudWatch.

## Konsol Manajemen AWS
<a name="default-role-users-console"></a>

### Prasyarat
<a name="_prerequisite"></a>

[Prinsipal IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#iam-term-principal) yang Anda gunakan harus memiliki izin yang dijelaskan dalam Izin yang [diperlukan](view-kubernetes-resources.md#view-kubernetes-resources-permissions).

### Untuk melihat identitas yang dibuat Amazon EKS menggunakan Konsol Manajemen AWS
<a name="to_view_amazon_eks_created_identities_using_the_shared_consolelong"></a>

1. Buka [konsol Amazon EKS](https://console.aws.amazon.com/eks/home#/clusters).

1. Dalam daftar **Clusters**, pilih cluster yang berisi identitas yang ingin Anda lihat.

1. Pilih tab **Sumber Daya**.

1. Di bawah **Jenis sumber daya**, pilih **Otorisasi**.

1. Pilih, **ClusterRoles**, **ClusterRoleBindings**, **Peran**, atau **RoleBindings**. Semua sumber daya yang diawali dengan **eks** dibuat oleh Amazon EKS. Sumber daya identitas tambahan yang dibuat Amazon EKS adalah:
   + **ClusterRole**Dan **ClusterRoleBinding**bernama **aws-node**. Sumber daya **aws-node** mendukung [plugin Amazon VPC CNI untuk Kubernetes,](managing-vpc-cni.md) yang diinstal Amazon EKS di semua cluster.
   + Yang **ClusterRole**bernama **vpc-resource-controller-role**dan **ClusterRoleBinding**bernama **vpc-resource-controller-rolebinding**. Sumber daya ini mendukung [pengontrol sumber daya VPC](https://github.com/aws/amazon-vpc-resource-controller-k8s) Amazon, yang dipasang Amazon EKS di semua cluster.

   Selain sumber daya yang Anda lihat di konsol, identitas pengguna khusus berikut ada di klaster Anda, meskipun tidak terlihat dalam konfigurasi cluster:
   +  **`eks:cluster-bootstrap`**- Digunakan untuk `kubectl` operasi selama bootstrap cluster.
   +  **`eks:support-engineer`**— Digunakan untuk operasi manajemen cluster.

1. Pilih sumber daya tertentu untuk melihat detailnya. Secara default, Anda ditampilkan informasi dalam **tampilan Terstruktur**. Di sudut kanan atas halaman detail, Anda dapat memilih **Tampilan mentah** untuk melihat semua informasi sumber daya.

## Kubectl
<a name="default-role-users-kubectl"></a>

### Prasyarat
<a name="_prerequisite_2"></a>

Entitas yang Anda gunakan (AWS Identity and Access Management (IAM) and Access Management (IAM) atau OpenID Connect (OIDC)) untuk mencantumkan resource Kubernetes di klaster harus diautentikasi oleh IAM atau penyedia identitas OIDC Anda. Entitas harus diberikan izin untuk menggunakan Kubernetes `get` dan `list` kata kerja untuk`Role`,, `ClusterRole``RoleBinding`, dan `ClusterRoleBinding` sumber daya di klaster Anda yang Anda inginkan untuk dikerjakan oleh entitas tersebut. Untuk informasi selengkapnya tentang pemberian entitas IAM akses ke klaster Anda, lihat. [Berikan akses kepada pengguna dan peran IAM ke Kubernetes APIs](grant-k8s-access.md) Untuk informasi selengkapnya tentang pemberian entitas yang diautentikasi oleh penyedia OIDC Anda sendiri akses ke klaster Anda, lihat. [Beri pengguna akses ke Kubernetes dengan penyedia OIDC eksternal](authenticate-oidc-identity-provider.md)

### Untuk melihat identitas Amazon EKS yang dibuat menggunakan `kubectl`
<a name="_to_view_amazon_eks_created_identities_using_kubectl"></a>

Jalankan perintah untuk jenis sumber daya yang ingin Anda lihat. Semua sumber daya yang dikembalikan yang diawali dengan **eks** dibuat oleh Amazon EKS. Selain sumber daya yang dikembalikan dalam output dari perintah, identitas pengguna khusus berikut ada di cluster Anda, meskipun tidak terlihat dalam konfigurasi cluster:
+  **`eks:cluster-bootstrap`**- Digunakan untuk `kubectl` operasi selama bootstrap cluster.
+  **`eks:support-engineer`**— Digunakan untuk operasi manajemen cluster.

 **ClusterRoles**— `ClusterRoles` dicakup ke klaster Anda, jadi izin apa pun yang diberikan untuk peran berlaku untuk sumber daya di namespace Kubernetes apa pun di klaster.

Perintah berikut mengembalikan semua Kubernetes Amazon EKS yang dibuat `ClusterRoles` di klaster Anda.

```
kubectl get clusterroles | grep eks
```

Selain `ClusterRoles` dikembalikan dalam output yang diawali dengan, berikut ini `ClusterRoles` ada.
+  **`aws-node`**— Ini `ClusterRole` mendukung [plugin Amazon VPC CNI untuk Kubernetes](managing-vpc-cni.md), yang dipasang Amazon EKS di semua cluster.
+  **`vpc-resource-controller-role`**— Ini `ClusterRole` mendukung [pengontrol sumber daya Amazon VPC](https://github.com/aws/amazon-vpc-resource-controller-k8s), yang dipasang Amazon EKS di semua cluster.

Untuk melihat spesifikasi untuk a`ClusterRole`, ganti *eks:k8s-metrics* dalam perintah berikut dengan `ClusterRole` dikembalikan dalam output dari perintah sebelumnya. Contoh berikut mengembalikan spesifikasi untuk *eks:k8s-metrics*`ClusterRole`.

```
kubectl describe clusterrole eks:k8s-metrics
```

Contoh output adalah sebagai berikut.

```
Name:         eks:k8s-metrics
Labels:       <none>
Annotations:  <none>
PolicyRule:
  Resources         Non-Resource URLs  Resource Names  Verbs
  ---------         -----------------  --------------  -----
                    [/metrics]         []              [get]
  endpoints         []                 []              [list]
  nodes             []                 []              [list]
  pods              []                 []              [list]
  deployments.apps  []                 []              [list]
```

 **ClusterRoleBindings**— `ClusterRoleBindings` dicakup ke cluster Anda.

Perintah berikut mengembalikan semua Kubernetes Amazon EKS yang dibuat `ClusterRoleBindings` di klaster Anda.

```
kubectl get clusterrolebindings | grep eks
```

Selain `ClusterRoleBindings` dikembalikan dalam output, berikut ini `ClusterRoleBindings` ada.
+  **`aws-node`**— Ini `ClusterRoleBinding` mendukung [plugin Amazon VPC CNI untuk Kubernetes](managing-vpc-cni.md), yang dipasang Amazon EKS di semua cluster.
+  **`vpc-resource-controller-rolebinding`**— Ini `ClusterRoleBinding` mendukung [pengontrol sumber daya Amazon VPC](https://github.com/aws/amazon-vpc-resource-controller-k8s), yang dipasang Amazon EKS di semua cluster.

Untuk melihat spesifikasi untuk a`ClusterRoleBinding`, ganti *eks:k8s-metrics* dalam perintah berikut dengan `ClusterRoleBinding` dikembalikan dalam output dari perintah sebelumnya. Contoh berikut mengembalikan spesifikasi untuk *eks:k8s-metrics*`ClusterRoleBinding`.

```
kubectl describe clusterrolebinding eks:k8s-metrics
```

Contoh output adalah sebagai berikut.

```
Name:         eks:k8s-metrics
Labels:       <none>
Annotations:  <none>
Role:
  Kind:  ClusterRole
  Name:  eks:k8s-metrics
Subjects:
  Kind  Name             Namespace
  ----  ----             ---------
  User  eks:k8s-metrics
```

 **Peran** — `Roles` dicakup ke namespace Kubernetes. Semua Amazon EKS `Roles` yang dibuat dicakup ke namespace. `kube-system`

Perintah berikut mengembalikan semua Kubernetes Amazon EKS yang dibuat `Roles` di klaster Anda.

```
kubectl get roles -n kube-system | grep eks
```

Untuk melihat spesifikasi untuk a`Role`, ganti *eks:k8s-metrics* dalam perintah berikut dengan nama yang `Role` dikembalikan dalam output dari perintah sebelumnya. Contoh berikut mengembalikan spesifikasi untuk *eks:k8s-metrics*`Role`.

```
kubectl describe role eks:k8s-metrics -n kube-system
```

Contoh output adalah sebagai berikut.

```
Name:         eks:k8s-metrics
Labels:       <none>
Annotations:  <none>
PolicyRule:
  Resources         Non-Resource URLs  Resource Names             Verbs
  ---------         -----------------  --------------             -----
  daemonsets.apps   []                 [aws-node]                 [get]
  deployments.apps  []                 [vpc-resource-controller]  [get]
```

 **RoleBindings**— `RoleBindings` dicakup ke namespace Kubernetes. Semua Amazon EKS `RoleBindings` yang dibuat dicakup ke namespace. `kube-system`

Perintah berikut mengembalikan semua Kubernetes Amazon EKS yang dibuat `RoleBindings` di klaster Anda.

```
kubectl get rolebindings -n kube-system | grep eks
```

Untuk melihat spesifikasi untuk a`RoleBinding`, ganti *eks:k8s-metrics* dalam perintah berikut dengan `RoleBinding` dikembalikan dalam output dari perintah sebelumnya. Contoh berikut mengembalikan spesifikasi untuk *eks:k8s-metrics*`RoleBinding`.

```
kubectl describe rolebinding eks:k8s-metrics -n kube-system
```

Contoh output adalah sebagai berikut.

```
Name:         eks:k8s-metrics
Labels:       <none>
Annotations:  <none>
Role:
  Kind:  Role
  Name:  eks:k8s-metrics
Subjects:
  Kind  Name             Namespace
  ----  ----             ---------
  User  eks:k8s-metrics
```