Wie behebe ich IAM-Rollenprobleme in meinem Amazon EKS-Cluster?

Lesedauer: 3 Minute

Ich möchte die AWS Identity and Access Management (IAM)-Rollen für meinen Amazon Elastic Kubernetes Service (Amazon EKS)-Cluster verwalten, um berechtigungsbedingte Probleme zu reduzieren.

Kurzbeschreibung

Wenn du nicht über die richtigen Berechtigungen für den Zugriff auf einen Amazon EKS-Cluster verfügst, wird möglicherweise eine der folgenden Fehlermeldungen angezeigt:

"Your current IAM principal doesn't have access to Kubernetes objects on this cluster"
"You must be logged in to the server (Unauthorized)"
"You must be logged in to the server (the server has asked for the client to provide credentials)"

Diese Fehler können aus einem der folgenden Gründe auftreten:

Du oder dein Kunde (AWS Command Line Interface (AWS CLI) oder Anwendung) habt euch nicht beim EKS-Cluster authentifiziert.
Dein AWS-Zugriffsschlüssel oder dein geheimer Schlüssel ist nicht gültig.
Du hast eine falsche Cluster-Endpunkt-URL.
Du hast deine kubeconfig-Datei nicht richtig konfiguriert.

Gehe wie folgt vor, um dieses Problem zu beheben.

Lösung

Hinweis: Wenn du beim Ausführen von AWS CLI-Befehlen Fehlermeldungen erhältst, findest du weitere Informationen dazu unter Problembehandlung bei der AWS CLI. Stelle außerdem sicher, dass du die neueste Version der AWS CLI verwendest.

Anmeldeinformationen und Konfigurationsdatei überprüfen

Überprüfe deine AWS-Anmeldeinformationen, um sicherzustellen, dass deine Anmeldeinformationen gültig sind und über die erforderlichen Berechtigungen für den Zugriff auf den Amazon EKS-Cluster verfügen. Wenn du kubectl-Befehle ausführst und einer der vorherigen Fehler angezeigt wird, hast du kubectl nicht richtig konfiguriert.

Führe den get-caller-identity-AWS-CLI-Befehl aus, um deine Anmeldeinformationen zu überprüfen:

aws sts get-caller-identity

Wenn du eine kubeconfig-Konfigurationsdatei für deinen Cluster verwendest, überprüfe deine Dateikonfigurationen. Wenn die Konfigurationen nicht korrekt sind, verwende den update-kubeconfig-Befehl, um die Datei zu aktualisieren:

aws eks update-kubeconfig

Weitere Informationen findest du unter kubectl mit einem Amazon EKS-Cluster verbinden, indem du eine kubeconfig-Datei erstellst.

Amazon EKS-Cluster-Authentifizierungsmethode überprüfen

Amazon EKS-Cluster, die die Konfigurationszuordnung verwenden

Für Amazon EKS-Cluster, die sich mit der Konfigurationszuordnung authentifizieren, konfiguriere die CLI so, dass sie dieselbe IAM-Identität für den Zugriff auf den Cluster und zum Bearbeiten der Zuordnung verwendet. Wenn es keine Identität gibt, die auf den Amazon EKS-Cluster zugreifen kann, übernimm die Rolle des Cluster-Erstellers. Bearbeite anschließend die Konfigurationszuordnung. Weitere Informationen findest du unter Wie gewähre ich anderen IAM-Benutzern und -Rollen Zugriff auf einen Cluster, nachdem ich einen Cluster in Amazon EKS erstellt habe?

Wenn die IAM-Identität nicht aufgeführt ist oder du die IAM-Identität falsch konfiguriert hast, aktualisiere die IAM-Prinzipale der Konfigurationszuordnung. Weitere Informationen findest du unter Hinzufügen von IAM-Prinzipien zum Amazon EKS-Cluster.

Amazon EKS-Cluster, die API-Authentifizierung verwenden

Für Amazon EKS-Cluster, die sich mit der Amazon EKS-API authentifizieren, musst du einen Zugriffseintrag für die IAM-Identität erstellen und die richtigen Berechtigungen bereitstellen.

Um zu überprüfen, ob es einen Zugriffseintrag für die IAM-Identität gibt, führe den Befehl list-access-entries aus:

aws eks list-access-entries --cluster-name Your_cluster_name

Hinweis: Ersetze Your\ _cluster_name durch den Namen deines Clusters.

Wenn es keinen Zugriffseintrag für die IAM-Identität gibt, erstelle einen Zugriffseintrag. Stelle außerdem sicher, dass der Amazon EKS-Cluster über die richtigen Zugriffsrichtlinien verfügt. Weitere Informationen findest du unter Zugriffsrichtlinien mit Zugriffseinträgen verknüpfen.

Hinweis: Die Zugriffseintragmethode ersetzt nicht die rollenbasierte Autorisierungskontrolle (RBAC) in Amazon EKS. Du kannst Amazon EKS-Zugriffseinträge mit RBAC in deinem Cluster verwenden, um spezifischere Konfigurationen zu gewähren. Weitere Informationen findest du unter Ein tiefer Einblick in die vereinfachten Amazon EKS-Zugriffsmanagementsteuerungen.

Relevanter Inhalt

Wie behebe ich den Fehler „Du musst beim Server angemeldet sein (nicht autorisiert)“, wenn ich eine Verbindung zum Amazon-EKS-API-Server herstelle?
AWS OFFICIALAktualisiert vor einem Jahr
Wie verwalte ich Namespace-übergreifende Berechtigungen für IAM-Benutzer in einem Amazon EKS-Cluster?
AWS OFFICIALAktualisiert vor 2 Jahren
Wie behebe ich eine fehlgeschlagene Zustandsprüfung für einen Load Balancer in Amazon EKS?
AWS OFFICIALAktualisiert vor 2 Jahren
Wie behebe ich Konnektivitätsprobleme mit dem API-Serverendpunkt meines Amazon-EKS-Clusters?
AWS OFFICIALAktualisiert vor 7 Monaten