Aiutaci a migliorare questa pagina
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Per contribuire a questa guida per l'utente, scegli il GitHub link Modifica questa pagina nel riquadro destro di ogni pagina.
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Risoluzione dei problemi di IAM
Questo argomento illustra alcuni errori comuni che si potrebbero verificare durante l'utilizzo di Amazon EKS con IAM, e il modo in cui gestirli.
AccessDeniedException
Se ricevi un messaggio AccessDeniedException quando chiami un'operazione AWS API, le credenziali principali IAM che stai utilizzando non dispongono delle autorizzazioni necessarie per effettuare quella chiamata.
An error occurred (AccessDeniedException) when calling the DescribeCluster operation: User: arn:aws: iam::111122223333:user/user_name is not authorized to perform: eks:DescribeCluster on resource: arn:aws: eks:region:111122223333:cluster/my-cluster
Nel messaggio di esempio precedente, l'utente non dispone delle autorizzazioni per chiamare l'operazione API DescribeCluster di Amazon EKS. Per fornire le autorizzazioni da amministratore Amazon EKS a un principale IAM, consultare Esempi di policy basate su identità Amazon EKS.
Per informazioni generali su IAM, consultare Controllo dell'accesso tramite policy nella Guida per l'utente di IMA.
Non riesci a vedere i nodi nella scheda Elaborazione o altro nella scheda Risorse e ricevi un errore nella AWS Management Console
È possibile che venga visualizzato un messaggio di errore della console che recita Your current user or role does not have access to Kubernetes objects on this EKS cluster. Assicurati che l'utente principale IAM AWS Management Console con cui stai utilizzando disponga delle autorizzazioni necessarie. Per ulteriori informazioni, consulta Autorizzazioni richieste.
La ConfigMap per aws-auth non concede l'accesso al cluster
L'AWS IAM AuthenticatorConfigMap Pertanto, rimuovi il percorso prima di specificare rolearn. Ad esempio, modifica arn:aws: iam:: in 111122223333:role/team/developers/eks-admin
arn:aws: iam::.111122223333:role/eks-admin
Non sono autorizzato a eseguire iam: PassRole
Se ricevi un messaggio di errore indicante che non sei autorizzato a eseguire l'iam:PassRoleazione, le tue politiche devono essere aggiornate per consentirti di trasferire un ruolo ad Amazon EKS.
Alcuni AWS servizi consentono di trasferire un ruolo esistente a quel servizio anziché creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.
L'errore di esempio seguente si verifica quando un utente IAM denominato marymajor cerca di utilizzare la console per eseguire un'operazione in Amazon EKS. Tuttavia, l'azione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per passare il ruolo al servizio.
User: {arn-aws}iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
In questo caso, le politiche di Mary devono essere aggiornate per consentirle di eseguire l'azioneiam:PassRole.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L'amministratore è la persona che ti ha fornito le credenziali di accesso.
Voglio consentire a persone esterne al mio AWS account di accedere alle mie risorse Amazon EKS
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all'organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l'assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali politiche per consentire alle persone di accedere alle tue risorse.
Per ulteriori informazioni, consulta gli argomenti seguenti:
-
Per sapere se Amazon EKS supporta queste caratteristiche, consultare Funzionamento di Amazon EKS con IAM.
-
Per scoprire come fornire l'accesso alle tue risorse su più AWS account di tua proprietà, consulta Fornire l'accesso a un utente IAM in un altro AWS account di tua proprietà nella IAM User Guide.
-
Per scoprire come fornire l'accesso alle tue risorse ad AWS account di terze parti, consulta Fornire l'accesso agli AWS account di proprietà di terze parti nella Guida per l'utente IAM.
-
Per informazioni su come fornire l'accesso tramite la federazione delle identità, consulta Fornire l'accesso a utenti autenticati esternamente (Federazione delle identità) nella Guida per l'utente IAM.
-
Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l'accesso multi-account, consulta Accesso a risorse multi-account in IAM nella Guida per l'utente IAM.
I container dei pod riceveranno il seguente errore: An error occurred (SignatureDoesNotMatch) when calling the GetCallerIdentity operation: Credential should be scoped to a valid region
I tuoi contenitori ricevono questo errore se l'applicazione effettua esplicitamente richieste all'endpoint globale AWS STS (
https://sts.amazonaws) e il tuo account di servizio Kubernetes è configurato per utilizzare un endpoint regionale. Puoi risolvere il problema con una delle opzioni seguenti:
-
Aggiorna il codice dell'applicazione per rimuovere le chiamate esplicite all'endpoint globale STS. AWS
-
Aggiorna il codice dell'applicazione per effettuare chiamate esplicite agli endpoint regionali, ad esempio
https://sts.us-west-2.amazonaws.com. L'applicazione dovrebbe avere la ridondanza integrata per scegliere una AWS regione diversa in caso di guasto del servizio nella regione. AWS Per ulteriori informazioni, consulta Managing AWS STS in an AWS Region nella IAM User Guide. -
Configura gli account del servizio per l'utilizzo dell'endpoint globale. I cluster utilizzano l'endpoint regionale per impostazione predefinita. Per ulteriori informazioni, consulta Configurare l'endpoint del servizio AWS Security Token per un account di servizio.
