AccessDeniedException Non riesci a vedere i nodi nella scheda Elaborazione o altro nella scheda Risorse e ricevi un errore nella Console di gestione AWS La ConfigMap per aws-auth non concede l'accesso al cluster Non sono autorizzato a eseguire iam: PassRole Voglio consentire a persone esterne al mio AWS account di accedere alle mie risorse Amazon EKS I container dei pod riceveranno il seguente errore: An error occurred (SignatureDoesNotMatch) when calling the GetCallerIdentity operation: Credential should be scoped to a valid region

Contribuisci a migliorare questa pagina

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per contribuire a questa guida per l'utente, scegli il GitHub link Modifica questa pagina nel riquadro destro di ogni pagina.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Risoluzione dei problemi di IAM

Questo argomento illustra alcuni errori comuni che si potrebbero verificare durante l'utilizzo di Amazon EKS con IAM, e il modo in cui gestirli.

AccessDeniedException

Se ricevi un messaggio AccessDeniedException quando chiami un'operazione AWS API, le credenziali principali IAM che stai utilizzando non dispongono delle autorizzazioni necessarie per effettuare quella chiamata.


An error occurred (AccessDeniedException) when calling the DescribeCluster operation:
User: arn:aws: iam::111122223333:user/user_name is not authorized to perform:
eks:DescribeCluster on resource: arn:aws: eks:region:111122223333:cluster/my-cluster

Nel messaggio di esempio precedente, l'utente non dispone delle autorizzazioni per chiamare l'operazione API DescribeCluster di Amazon EKS. Per fornire le autorizzazioni da amministratore Amazon EKS a un principale IAM, consultare Esempi di policy basate su identità Amazon EKS.

Per informazioni generali su IAM, consultare Controllo dell'accesso tramite policy nella Guida per l'utente di IMA.

Non riesci a vedere i nodi nella scheda Elaborazione o altro nella scheda Risorse e ricevi un errore nella Console di gestione AWS

È possibile che venga visualizzato un messaggio di errore della console che recita Your current user or role does not have access to Kubernetes objects on this EKS cluster. Assicurati che l'utente principale IAM Console di gestione AWS con cui stai utilizzando disponga delle autorizzazioni necessarie. Per ulteriori informazioni, consulta Autorizzazioni richieste.

La `ConfigMap` per aws-auth non concede l'accesso al cluster

L’Autenticatore AWS IAM non consente un percorso nell’ARN del ruolo utilizzato in ConfigMap. Pertanto, rimuovi il percorso prima di specificare rolearn. Ad esempio, modifica arn:aws: iam::111122223333:role/team/developers/eks-admin in arn:aws: iam::111122223333:role/eks-admin.

Non sono autorizzato a eseguire iam: PassRole

Se ricevi un errore che indica che non disponi delle autorizzazioni a eseguire l’operazione iam:PassRole, è necessario aggiornare le policy per poter passare un ruolo ad Amazon EKS.

Alcuni AWS servizi consentono di trasferire un ruolo esistente a quel servizio anziché creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.

L'errore di esempio seguente si verifica quando un utente IAM denominato marymajor cerca di utilizzare la console per eseguire un'operazione in Amazon EKS. Tuttavia, l’azione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.


User: {arn-aws}iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole

In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione iam:PassRole.

Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.

Voglio consentire a persone esterne al mio AWS account di accedere alle mie risorse Amazon EKS

È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali politiche per consentire alle persone di accedere alle tue risorse.

Per maggiori informazioni, consulta gli argomenti seguenti:

Per sapere se Amazon EKS supporta queste caratteristiche, consultare Funzionamento di Amazon EKS con IAM.
Per scoprire come fornire l'accesso alle tue risorse su più AWS account di tua proprietà, consulta Fornire l'accesso a un utente IAM in un altro AWS account di tua proprietà nella IAM User Guide.
Per scoprire come fornire l'accesso alle tue risorse ad AWS account di terze parti, consulta Fornire l'accesso agli AWS account di proprietà di terze parti nella Guida per l'utente IAM.
Per informazioni su come fornire l'accesso tramite la federazione delle identità, consulta Fornire l'accesso a utenti autenticati esternamente (federazione delle identità) nella Guida per l'utente IAM.
Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l’accesso multi-account, consulta Accesso a risorse multi-account in IAM nella Guida per l’utente di IAM.

I container dei pod riceveranno il seguente errore: `An error occurred (SignatureDoesNotMatch) when calling the GetCallerIdentity operation: Credential should be scoped to a valid region`

I tuoi contenitori ricevono questo errore se l'applicazione effettua esplicitamente richieste all'endpoint globale AWS STS (https://sts.amazonaws) e il tuo account di servizio Kubernetes è configurato per utilizzare un endpoint regionale. Puoi risolvere il problema con una delle opzioni seguenti:

Aggiorna il codice dell'applicazione per rimuovere le chiamate esplicite all'endpoint globale STS. AWS
Aggiorna il codice dell'applicazione per effettuare chiamate esplicite agli endpoint regionali, ad esempio https://sts.us-west-2.amazonaws.com. L'applicazione dovrebbe avere la ridondanza integrata per scegliere una AWS regione diversa in caso di guasto del servizio nella regione. AWS Per ulteriori informazioni, consulta Managing AWS STS in an AWS Region nella IAM User Guide.
Configura gli account del servizio per l'utilizzo dell'endpoint globale. I cluster utilizzano l’endpoint regionale per impostazione predefinita. Per ulteriori informazioni, consulta Configurare l’endpoint del Servizio di token di sicurezza AWS per un account di servizio.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

AWS politiche gestite

Ruolo IAM del cluster