

 **Bantu tingkatkan halaman ini** 

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Untuk berkontribusi pada panduan pengguna ini, pilih **Edit halaman ini pada GitHub** tautan yang terletak di panel kanan setiap halaman.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Menyelesaikan masalah IAM
<a name="security-iam-troubleshoot"></a>

Topik ini mencakup beberapa kesalahan umum yang mungkin Anda temui saat menggunakan Amazon EKS dengan IAM dan cara yang dilakukan untuk mengatasinya.

## AccessDeniedException
<a name="iam-error"></a>

Jika Anda menerima `AccessDeniedException` saat memanggil operasi AWS API, kredensyal [utama IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#iam-term-principal) yang Anda gunakan tidak memiliki izin yang diperlukan untuk melakukan panggilan itu.

```
An error occurred (AccessDeniedException) when calling the DescribeCluster operation:
User: arn:aws: iam::111122223333:user/user_name is not authorized to perform:
eks:DescribeCluster on resource: arn:aws: eks:region:111122223333:cluster/my-cluster
```

Dalam pesan contoh sebelumnya, pengguna tidak memiliki izin untuk memanggil operasi Amazon EKS `DescribeCluster` API. Untuk memberikan izin admin Amazon EKS ke kepala sekolah IAM, lihat. [Contoh kebijakan berbasis identitas Amazon EKS](security-iam-id-based-policy-examples.md)

Untuk informasi umum selengkapnya tentang IAM, tinjau [Mengontrol akses menggunakan kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html) di *Panduan Pengguna IAM*.

## Tidak dapat melihat **Node** di tab **Compute** atau apa pun di tab **Resources** dan Anda menerima kesalahan di Konsol Manajemen AWS
<a name="security-iam-troubleshoot-cannot-view-nodes-or-workloads"></a>

Anda mungkin melihat pesan kesalahan konsol yang menyatakan `Your current user or role does not have access to Kubernetes objects on this EKS cluster`. Pastikan bahwa pengguna [utama IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#iam-term-principal) yang Anda gunakan Konsol Manajemen AWS dengan memiliki izin yang diperlukan. Untuk informasi selengkapnya, lihat [Izin yang diperlukan](view-kubernetes-resources.md#view-kubernetes-resources-permissions).

## aws-auth `ConfigMap` tidak memberikan akses ke cluster
<a name="security-iam-troubleshoot-configmap"></a>

[AWS IAM Authenticator](https://github.com/kubernetes-sigs/aws-iam-authenticator) tidak mengizinkan jalur dalam peran ARN yang digunakan dalam. `ConfigMap` Karena itu, sebelum Anda tentukan `rolearn`, hapus jalur. Misalnya, perubahan ` arn:aws: iam::111122223333:role/team/developers/eks-admin ` ke ` arn:aws: iam::111122223333:role/eks-admin `.

## Saya tidak berwenang untuk melakukan iam: PassRole
<a name="security-iam-troubleshoot-passrole"></a>

Jika Anda menerima kesalahan bahwa Anda tidak diizinkan untuk melakukan `iam:PassRole` tindakan, kebijakan Anda harus diperbarui agar Anda dapat meneruskan peran ke Amazon EKS.

Beberapa AWS layanan memungkinkan Anda untuk meneruskan peran yang ada ke layanan tersebut alih-alih membuat peran layanan baru atau peran terkait layanan. Untuk melakukannya, Anda harus memiliki izin untuk mendapatkan peran ke layanan.

Contoh kesalahan berikut terjadi saat pengguna IAM bernama `marymajor` mencoba menggunakan konsol tersebut untuk performa tindakan di Amazon EKS. Namun, tindakan tersebut memerlukan layanan untuk mendapatkan izin yang diberikan oleh peran layanan. Mary tidak memiliki izin untuk meneruskan peran tersebut pada layanan.

```
User: {arn-aws}iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

Dalam hal ini, kebijakan Mary harus diperbarui untuk memungkinkannya melakukan `iam:PassRole` tindakan.

Jika Anda memerlukan bantuan, hubungi AWS administrator Anda. Administrator Anda adalah orang yang memberi Anda kredensial masuk.

## Saya ingin mengizinkan orang di luar AWS akun saya untuk mengakses sumber daya Amazon EKS saya
<a name="security-iam-troubleshoot-cross-account-access"></a>

Anda dapat membuat peran yang dapat digunakan pengguna di akun lain atau orang-orang di luar organisasi Anda untuk mengakses sumber daya Anda. Anda dapat menentukan siapa saja yang dipercaya untuk mengambil peran tersebut. Untuk layanan yang mendukung kebijakan berbasis sumber daya atau daftar kontrol akses (ACLs), Anda dapat menggunakan kebijakan tersebut untuk memberi orang akses ke sumber daya Anda.

Untuk mempelajari selengkapnya, konsultasikan hal berikut:
+ Untuk mempelajari apakah Amazon EKS mendukung fitur ini, lihat [Bagaimana cara Amazon EKS bekerja sama dengan IAM](security-iam-service-with-iam.md).
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda di seluruh AWS akun yang Anda miliki, lihat [Menyediakan akses ke pengguna IAM di AWS akun lain yang Anda miliki](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) di *Panduan Pengguna IAM*.
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda ke AWS akun pihak ketiga, lihat [Menyediakan akses ke AWS akun yang dimiliki oleh pihak ketiga](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) di *Panduan Pengguna IAM*.
+ Untuk mempelajari cara memberikan akses melalui federasi identitas, lihat [Menyediakan akses ke pengguna terautentikasi eksternal (federasi identitas)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dalam *Panduan Pengguna IAM*.
+ *Untuk mempelajari perbedaan antara menggunakan peran dan kebijakan berbasis sumber daya untuk akses lintas akun, lihat [Akses sumber daya lintas akun di IAM di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html).*

## Kontainer pod menerima kesalahan berikut: `An error occurred (SignatureDoesNotMatch) when calling the GetCallerIdentity operation: Credential should be scoped to a valid region`
<a name="security-iam-troubleshoot-wrong-sts-endpoint"></a>

Container Anda menerima kesalahan ini jika aplikasi Anda secara eksplisit membuat permintaan ke AWS STS global endpoint (`https://sts.amazonaws.com`) dan akun layanan Kubernetes Anda dikonfigurasi untuk menggunakan endpoint regional. Anda dapat menyelesaikan masalah dengan salah satu opsi berikut:
+ Perbarui kode aplikasi Anda untuk menghapus panggilan eksplisit ke titik akhir global AWS STS.
+ Perbarui kode aplikasi Anda untuk membuat panggilan eksplisit ke titik akhir regional seperti. `https://sts.us-west-2.amazonaws.com` Aplikasi Anda harus memiliki redundansi bawaan untuk memilih AWS Wilayah yang berbeda jika terjadi kegagalan layanan di AWS Wilayah. Untuk informasi selengkapnya, lihat [Mengelola AWS STS di AWS Wilayah](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_enable-regions.html) di Panduan Pengguna IAM.
+ Konfigurasikan akun layanan Anda untuk menggunakan titik akhir global. Cluster menggunakan endpoint regional secara default. Lihat informasi yang lebih lengkap di [Konfigurasikan titik akhir Layanan Token AWS Keamanan untuk akun layanan](configure-sts-endpoint.md).