**Contribuisci a migliorare questa pagina**
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Per contribuire a questa guida per l'utente, scegli il GitHub link **Modifica questa pagina** nel riquadro destro di ogni pagina.
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Comprendere ruoli e utenti creati da Amazon EKS tramite RBAC
Quando si crea un cluster Kubernetes, su tale cluster vengono create diverse identità Kubernetes predefinite per il corretto funzionamento di Kubernetes. Amazon EKS crea identità Kubernetes per ciascuno dei suoi componenti predefiniti. Le identità offrono un controllo delle autorizzazioni basato sul ruolo (RBAC) Kubernetes per i componenti del cluster. Per ulteriori informazioni, consulta [Using RBAC Authorization](https://kubernetes.io/docs/reference/access-authn-authz/rbac/) nella documentazione di Kubernetes.
Quando si installano [componenti aggiuntivi](eks-add-ons.md) opzionali nel cluster, è possibile che vengano aggiunte identità Kubernetes supplementari al cluster. Per ulteriori informazioni sulle identità non trattate in questo argomento, consulta la documentazione del componente aggiuntivo.
Puoi visualizzare l'elenco delle identità Kubernetes create da Amazon EKS sul tuo cluster utilizzando lo strumento Console di gestione AWS o `kubectl` la riga di comando. Tutte le identità degli utenti vengono visualizzate nei registri di `kube` controllo disponibili tramite Amazon. CloudWatch
## Console di gestione AWS
### Prerequisito
Il [principale IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#iam-term-principal) da utilizzare deve disporre delle autorizzazioni descritte alla pagina [Required permissions](view-kubernetes-resources.md#view-kubernetes-resources-permissions).
### Per visualizzare le identità create da Amazon EKS utilizzando Console di gestione AWS
1. Aprire la [Console Amazon EKS](https://console.aws.amazon.com/eks/home#/clusters).
1. Nell'elenco **Cluster**, seleziona il cluster contenente le identità da visualizzare.
1. Scegli la scheda **Risorse**.
1. In **Resource types** (Tipi di risorse), scegli **Authorization** (Autorizzazione).
1. Scegli, **ClusterRoles**, **ClusterRoleBindings**, **Ruoli** o **RoleBindings**. Tutte le risorse con il prefisso **eks** sono create da Amazon EKS. Le risorse di identità supplementari create da Amazon EKS sono:
+ La band **ClusterRole**si **ClusterRoleBinding**chiama **aws-node**. Le risorse **aws-node** supportano il [plugin CNI di Amazon VPC per Kubernetes](managing-vpc-cni.md), che Amazon EKS installa su tutti i cluster.
+ Un **ClusterRole**nome **vpc-resource-controller-role**e un **ClusterRoleBinding**nome. **vpc-resource-controller-rolebinding** Queste risorse supportano il [Amazon VPC resource controller](https://github.com/aws/amazon-vpc-resource-controller-k8s) (Controller risorse Amazon VPC), che Amazon EKS installa su tutti i cluster.
Oltre alle risorse visualizzate nella console, nel cluster esistono le seguenti identità utente speciali, anche se non sono visibili nella configurazione del cluster:
+ ** `eks:cluster-bootstrap` **: utilizzato per operazioni `kubectl` durante il bootstrap del cluster.
+ ** `eks:support-engineer` **: utilizzato per le operazioni di gestione del cluster.
1. Scegli una risorsa specifica per visualizzarne i dettagli. Per impostazione predefinita, le informazioni sono mostrate in **Vista strutturata**. Nell'angolo superiore destro della pagina dei dettagli puoi scegliere la **Raw view** (Visualizzazione non elaborata) per vedere tutte le informazioni per la risorsa.
## Kubectl
### Prerequisito
L'entità che utilizzi (AWS Identity and Access Management (IAM) o OpenID Connect (OIDC)) per elencare le risorse Kubernetes nel cluster deve essere autenticata da IAM o dal tuo provider di identità OIDC. All’entità devono essere concesse autorizzazioni per utilizzare i verbi Kubernetes `get` e `list` per le risorse `Role`, `ClusterRole`, `RoleBinding` e `ClusterRoleBinding` nel cluster che devono essere utilizzate dall’entità. Per ulteriori informazioni sulla concessione alle entità IAM dell'accesso al tuo cluster, consulta [Concedi agli utenti e ai ruoli IAM l'accesso a Kubernetes APIs](grant-k8s-access.md). Per ulteriori informazioni sulla concessione dell’accesso al cluster alle entità autenticate dal gestore OIDC, consultare [Concedere agli utenti l’accesso a Kubernetes con un provider OIDC esterno](authenticate-oidc-identity-provider.md).
### Come visualizzare le identità create da Amazon EKS tramite `kubectl`
Esegui il comando per il tipo di risorsa da visualizzare. Tutte le risorse restituite con il prefisso **eks** sono create da Amazon EKS. Oltre alle risorse restituite nell’output dai comandi, nel cluster esistono le seguenti identità utente speciali, anche se non sono visibili nella configurazione del cluster:
+ ** `eks:cluster-bootstrap` **: utilizzato per operazioni `kubectl` durante il bootstrap del cluster.
+ ** `eks:support-engineer` **: utilizzato per le operazioni di gestione del cluster.
**ClusterRoles**— `ClusterRoles` sono limitati al cluster, quindi qualsiasi autorizzazione concessa a un ruolo si applica alle risorse in qualsiasi spazio dei nomi Kubernetes del cluster.
Il comando seguente restituisce tutti i `ClusterRoles` Kubernetes creati da Amazon EKS nel cluster.
```
kubectl get clusterroles | grep eks
```
Oltre ai `ClusterRoles` restituiti nell'output con prefisso, esistono i seguenti `ClusterRoles`.
+ ** `aws-node` **: questo `ClusterRole` supporta il [plugin CNI di Amazon VPC per Kubernetes](managing-vpc-cni.md), che Amazon EKS installa su tutti i cluster.
+ ** `vpc-resource-controller-role` **: questo `ClusterRole` supporta il [controller di risorse Amazon VPC](https://github.com/aws/amazon-vpc-resource-controller-k8s), che Amazon EKS installa su tutti i cluster.
Per visualizzare la specifica di a`ClusterRole`, sostituiscila *eks:k8s-metrics* nel comando seguente con una `ClusterRole` restituita nell'output del comando precedente. L'esempio seguente restituisce la specifica per *eks:k8s-metrics*`ClusterRole`.
```
kubectl describe clusterrole eks:k8s-metrics
```
Di seguito viene riportato un output di esempio.
```
Name: eks:k8s-metrics
Labels:
Annotations:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
[/metrics] [] [get]
endpoints [] [] [list]
nodes [] [] [list]
pods [] [] [list]
deployments.apps [] [] [list]
```
**ClusterRoleBindings**— `ClusterRoleBindings` rientrano nell'ambito del cluster.
Il comando seguente restituisce tutti i `ClusterRoleBindings` Kubernetes creati da Amazon EKS nel cluster.
```
kubectl get clusterrolebindings | grep eks
```
Oltre ai `ClusterRoleBindings` restituiti nell'output, esistono i seguenti `ClusterRoleBindings`.
+ ** `aws-node` **: questo `ClusterRoleBinding` supporta il [plugin CNI di Amazon VPC per Kubernetes](managing-vpc-cni.md), che Amazon EKS installa su tutti i cluster.
+ ** `vpc-resource-controller-rolebinding` **: questo `ClusterRoleBinding` supporta il [controller di risorse Amazon VPC](https://github.com/aws/amazon-vpc-resource-controller-k8s), che Amazon EKS installa su tutti i cluster.
Per visualizzare la specifica di a`ClusterRoleBinding`, sostituiscila *eks:k8s-metrics* nel comando seguente con una `ClusterRoleBinding` restituita nell'output del comando precedente. L'esempio seguente restituisce la specifica per *eks:k8s-metrics*`ClusterRoleBinding`.
```
kubectl describe clusterrolebinding eks:k8s-metrics
```
Di seguito viene riportato un output di esempio.
```
Name: eks:k8s-metrics
Labels:
Annotations:
Role:
Kind: ClusterRole
Name: eks:k8s-metrics
Subjects:
Kind Name Namespace
---- ---- ---------
User eks:k8s-metrics
```
**Roles**: i `Roles` sono racchiusi in un namespace Kubernetes. Tutti i `Roles` creati da Amazon EKS rientrano nell'ambito dello spazio nomi `kube-system`.
Il comando seguente restituisce tutti i `Roles` Kubernetes creati da Amazon EKS nel cluster.
```
kubectl get roles -n kube-system | grep eks
```
Per visualizzare la specifica di a`Role`, sostituiscila *eks:k8s-metrics* nel comando seguente con il nome di a `Role` restituito nell'output del comando precedente. L'esempio seguente restituisce la specifica per *eks:k8s-metrics*`Role`.
```
kubectl describe role eks:k8s-metrics -n kube-system
```
Di seguito viene riportato un output di esempio.
```
Name: eks:k8s-metrics
Labels:
Annotations:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
daemonsets.apps [] [aws-node] [get]
deployments.apps [] [vpc-resource-controller] [get]
```
**RoleBindings**— `RoleBindings` sono riconducibili a uno spazio dei nomi Kubernetes. Tutti i `RoleBindings` creati da Amazon EKS rientrano nell'ambito dello spazio nomi `kube-system`.
Il comando seguente restituisce tutti i `RoleBindings` Kubernetes creati da Amazon EKS nel cluster.
```
kubectl get rolebindings -n kube-system | grep eks
```
Per visualizzare le specifiche di a`RoleBinding`, sostituiscilo *eks:k8s-metrics* nel comando seguente con un valore `RoleBinding` restituito nell'output del comando precedente. L'esempio seguente restituisce la specifica per *eks:k8s-metrics*`RoleBinding`.
```
kubectl describe rolebinding eks:k8s-metrics -n kube-system
```
Di seguito viene riportato un output di esempio.
```
Name: eks:k8s-metrics
Labels:
Annotations:
Role:
Kind: Role
Name: eks:k8s-metrics
Subjects:
Kind Name Namespace
---- ---- ---------
User eks:k8s-metrics
```