Contribuisci a migliorare questa pagina

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per contribuire a questa guida per l'utente, scegli il GitHub link Modifica questa pagina nel riquadro destro di ogni pagina.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Comprendere ruoli e utenti creati da Amazon EKS tramite RBAC

Quando si crea un cluster Kubernetes, su tale cluster vengono create diverse identità Kubernetes predefinite per il corretto funzionamento di Kubernetes. Amazon EKS crea identità Kubernetes per ciascuno dei suoi componenti predefiniti. Le identità offrono un controllo delle autorizzazioni basato sul ruolo (RBAC) Kubernetes per i componenti del cluster. Per ulteriori informazioni, consulta Using RBAC Authorization nella documentazione di Kubernetes.

Quando si installano componenti aggiuntivi opzionali nel cluster, è possibile che vengano aggiunte identità Kubernetes supplementari al cluster. Per ulteriori informazioni sulle identità non trattate in questo argomento, consulta la documentazione del componente aggiuntivo.

Puoi visualizzare l'elenco delle identità Kubernetes create da Amazon EKS sul tuo cluster utilizzando lo strumento Console di gestione AWS o kubectl la riga di comando. Tutte le identità degli utenti vengono visualizzate nei registri di kube controllo disponibili tramite Amazon. CloudWatch

Console di gestione AWS

Prerequisito

Il principale IAM da utilizzare deve disporre delle autorizzazioni descritte alla pagina Required permissions.

Per visualizzare le identità create da Amazon EKS utilizzando Console di gestione AWS

Aprire la Console Amazon EKS.
Nell'elenco Cluster, seleziona il cluster contenente le identità da visualizzare.
Scegli la scheda Risorse.
In Resource types (Tipi di risorse), scegli Authorization (Autorizzazione).
Scegli, ClusterRoles, ClusterRoleBindings, Ruoli o RoleBindings. Tutte le risorse con il prefisso eks sono create da Amazon EKS. Le risorse di identità supplementari create da Amazon EKS sono:
- La band ClusterRolesi ClusterRoleBindingchiama aws-node. Le risorse aws-node supportano il plugin CNI di Amazon VPC per Kubernetes, che Amazon EKS installa su tutti i cluster.
- Un ClusterRolenome vpc-resource-controller-rolee un ClusterRoleBindingnome. vpc-resource-controller-rolebinding Queste risorse supportano il Amazon VPC resource controller (Controller risorse Amazon VPC), che Amazon EKS installa su tutti i cluster.
Oltre alle risorse visualizzate nella console, nel cluster esistono le seguenti identità utente speciali, anche se non sono visibili nella configurazione del cluster:
- eks:cluster-bootstrap : utilizzato per operazioni kubectl durante il bootstrap del cluster.
- eks:support-engineer : utilizzato per le operazioni di gestione del cluster.
Scegli una risorsa specifica per visualizzarne i dettagli. Per impostazione predefinita, le informazioni sono mostrate in Vista strutturata. Nell'angolo superiore destro della pagina dei dettagli puoi scegliere la Raw view (Visualizzazione non elaborata) per vedere tutte le informazioni per la risorsa.

Kubectl

Prerequisito

L'entità che utilizzi (AWS Identity and Access Management (IAM) o OpenID Connect (OIDC)) per elencare le risorse Kubernetes nel cluster deve essere autenticata da IAM o dal tuo provider di identità OIDC. All’entità devono essere concesse autorizzazioni per utilizzare i verbi Kubernetes get e list per le risorse Role, ClusterRole, RoleBinding e ClusterRoleBinding nel cluster che devono essere utilizzate dall’entità. Per ulteriori informazioni sulla concessione alle entità IAM dell'accesso al tuo cluster, consulta Concedi agli utenti e ai ruoli IAM l'accesso a Kubernetes APIs. Per ulteriori informazioni sulla concessione dell’accesso al cluster alle entità autenticate dal gestore OIDC, consultare Concedere agli utenti l’accesso a Kubernetes con un provider OIDC esterno.

Come visualizzare le identità create da Amazon EKS tramite `kubectl`

Esegui il comando per il tipo di risorsa da visualizzare. Tutte le risorse restituite con il prefisso eks sono create da Amazon EKS. Oltre alle risorse restituite nell’output dai comandi, nel cluster esistono le seguenti identità utente speciali, anche se non sono visibili nella configurazione del cluster:

eks:cluster-bootstrap : utilizzato per operazioni kubectl durante il bootstrap del cluster.
eks:support-engineer : utilizzato per le operazioni di gestione del cluster.

ClusterRoles— ClusterRoles sono limitati al cluster, quindi qualsiasi autorizzazione concessa a un ruolo si applica alle risorse in qualsiasi spazio dei nomi Kubernetes del cluster.

Il comando seguente restituisce tutti i ClusterRoles Kubernetes creati da Amazon EKS nel cluster.


kubectl get clusterroles | grep eks

Oltre ai ClusterRoles restituiti nell'output con prefisso, esistono i seguenti ClusterRoles.

aws-node : questo ClusterRole supporta il plugin CNI di Amazon VPC per Kubernetes, che Amazon EKS installa su tutti i cluster.
vpc-resource-controller-role : questo ClusterRole supporta il controller di risorse Amazon VPC, che Amazon EKS installa su tutti i cluster.

Per visualizzare la specifica di aClusterRole, sostituiscila eks:k8s-metrics nel comando seguente con una ClusterRole restituita nell'output del comando precedente. L'esempio seguente restituisce la specifica per eks:k8s-metricsClusterRole.


kubectl describe clusterrole eks:k8s-metrics

Di seguito viene riportato un output di esempio.


Name:         eks:k8s-metrics
Labels:       <none>
Annotations:  <none>
PolicyRule:
  Resources         Non-Resource URLs  Resource Names  Verbs
  ---------         -----------------  --------------  -----
                    [/metrics]         []              [get]
  endpoints         []                 []              [list]
  nodes             []                 []              [list]
  pods              []                 []              [list]
  deployments.apps  []                 []              [list]

ClusterRoleBindings— ClusterRoleBindings rientrano nell'ambito del cluster.

Il comando seguente restituisce tutti i ClusterRoleBindings Kubernetes creati da Amazon EKS nel cluster.


kubectl get clusterrolebindings | grep eks

Oltre ai ClusterRoleBindings restituiti nell'output, esistono i seguenti ClusterRoleBindings.

aws-node : questo ClusterRoleBinding supporta il plugin CNI di Amazon VPC per Kubernetes, che Amazon EKS installa su tutti i cluster.
vpc-resource-controller-rolebinding : questo ClusterRoleBinding supporta il controller di risorse Amazon VPC, che Amazon EKS installa su tutti i cluster.

Per visualizzare la specifica di aClusterRoleBinding, sostituiscila eks:k8s-metrics nel comando seguente con una ClusterRoleBinding restituita nell'output del comando precedente. L'esempio seguente restituisce la specifica per eks:k8s-metricsClusterRoleBinding.


kubectl describe clusterrolebinding eks:k8s-metrics

Di seguito viene riportato un output di esempio.


Name:         eks:k8s-metrics
Labels:       <none>
Annotations:  <none>
Role:
  Kind:  ClusterRole
  Name:  eks:k8s-metrics
Subjects:
  Kind  Name             Namespace
  ----  ----             ---------
  User  eks:k8s-metrics

Roles: i Roles sono racchiusi in un namespace Kubernetes. Tutti i Roles creati da Amazon EKS rientrano nell'ambito dello spazio nomi kube-system.

Il comando seguente restituisce tutti i Roles Kubernetes creati da Amazon EKS nel cluster.


kubectl get roles -n kube-system | grep eks

Per visualizzare la specifica di aRole, sostituiscila eks:k8s-metrics nel comando seguente con il nome di a Role restituito nell'output del comando precedente. L'esempio seguente restituisce la specifica per eks:k8s-metricsRole.


kubectl describe role eks:k8s-metrics -n kube-system

Di seguito viene riportato un output di esempio.


Name:         eks:k8s-metrics
Labels:       <none>
Annotations:  <none>
PolicyRule:
  Resources         Non-Resource URLs  Resource Names             Verbs
  ---------         -----------------  --------------             -----
  daemonsets.apps   []                 [aws-node]                 [get]
  deployments.apps  []                 [vpc-resource-controller]  [get]

RoleBindings— RoleBindings sono riconducibili a uno spazio dei nomi Kubernetes. Tutti i RoleBindings creati da Amazon EKS rientrano nell'ambito dello spazio nomi kube-system.

Il comando seguente restituisce tutti i RoleBindings Kubernetes creati da Amazon EKS nel cluster.


kubectl get rolebindings -n kube-system | grep eks

Per visualizzare le specifiche di aRoleBinding, sostituiscilo eks:k8s-metrics nel comando seguente con un valore RoleBinding restituito nell'output del comando precedente. L'esempio seguente restituisce la specifica per eks:k8s-metricsRoleBinding.


kubectl describe rolebinding eks:k8s-metrics -n kube-system

Di seguito viene riportato un output di esempio.


Name:         eks:k8s-metrics
Labels:       <none>
Annotations:  <none>
Role:
  Kind:  Role
  Name:  eks:k8s-metrics
Subjects:
  Kind  Name             Namespace
  ----  ----             ---------
  User  eks:k8s-metrics

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Firma dei certificati

Abilitare la crittografia dei segreti

Comprendere ruoli e utenti creati da Amazon EKS tramite RBAC

Console di gestione AWS

Prerequisito

Per visualizzare le identità create da Amazon EKS utilizzando Console di gestione AWS

Kubectl

Prerequisito

Come visualizzare le identità create da Amazon EKS tramite kubectl

Come visualizzare le identità create da Amazon EKS tramite `kubectl`