Come posso risolvere i problemi relativi ai ruoli IAM nel mio cluster Amazon EKS?

Breve descrizione

Se non hai le autorizzazioni corrette per accedere a un cluster Amazon EKS, potresti ricevere uno dei seguenti errori:

• "Your current IAM principal doesn't have access to Kubernetes objects on this cluster"
• "You must be logged in to the server (Unauthorized)"
• "You must be logged in to the server (the server has asked for the client to provide credentials)"

Questi errori possono verificarsi per uno dei seguenti motivi:

• L'utente (tu) o il client (Interfaccia della linea di comando AWS (AWS CLI) o applicazione) non si è autenticato con il cluster EKS.
• La chiave di accesso o la chiave segreta AWS non è valida.
• L'URL dell'endpoint del cluster è errato.
• Non hai configurato correttamente il file kubeconfig.

Per risolvere il problema, completa le seguenti attività.

Risoluzione

Nota: se ricevi errori quando esegui i comandi dell'Interfaccia della linea di comando AWS (AWS CLI), consulta Risoluzione degli errori relativi ad AWS CLI. Inoltre, assicurati di utilizzare la versione più recente di AWS CLI.

Verifica le credenziali e il file di configurazione

Verifica le credenziali AWS per assicurarti che siano valide e abbiano le autorizzazioni necessarie per accedere al cluster Amazon EKS. Se esegui i comandi kubectl e ottieni uno degli errori precedenti, significa che kubectl non è stato configurato correttamente.

Per verificare le credenziali, esegui il comando AWS CLI get-caller-identity:

aws sts get-caller-identity

Se utilizzi un file di configurazione kubeconfig per il cluster, verifica le configurazioni dei file. Se le configurazioni non sono corrette, utilizza il comando update-kubeconfig per aggiornare il file:

aws eks update-kubeconfig

Per ulteriori informazioni, consulta Connessione di kubectl a un cluster EKS creando un file kubeconfig.

Verifica il metodo di autenticazione del cluster Amazon EKS

Cluster Amazon EKS che utilizzano la mappa di configurazione

Per i cluster Amazon EKS che si autenticano con la mappa di configurazione, configura CLI in modo che utilizzi la stessa identità IAM per accedere al cluster e modificare la mappa. Se non esiste un'identità in grado di accedere al cluster Amazon EKS, assumi il ruolo di creatore del cluster. Quindi modifica la mappa di configurazione. Per ulteriori informazioni, consulta Come posso fornire l'accesso al cluster ad altri utenti e ruoli IAM dopo aver creato un cluster in Amazon EKS?

Se non vedi l'identità IAM elencata o hai configurato l'identità IAM in maniera non corretta, aggiorna i principali IAM della mappa di configurazione. Per ulteriori informazioni, consulta Aggiunta di principali IAM al cluster Amazon EKS.

Cluster Amazon EKS che utilizzano l'autenticazione API

Per i cluster Amazon EKS che si autenticano con l'API Amazon EKS, devi creare una voce di accesso per l'identità IAM e fornire le autorizzazioni corrette.

Per verificare se esiste una voce di accesso per l'identità IAM, esegui il comando list-access-entries:

aws eks list-access-entries --cluster-name Your_cluster_name

Nota: sostituisci Your_cluster_name con il nome del tuo cluster.

Se non è presente una voce di accesso per l'identità IAM, creane una. Inoltre, assicurati che il cluster Amazon EKS abbia le policy di accesso corrette. Per ulteriori informazioni, consulta Associare le policy di accesso alle voci di accesso.

Nota: il metodo Voce di accesso non sostituisce il controllo delle autorizzazioni basato sui ruoli (RBAC) in Amazon EKS. Puoi utilizzare le voci di accesso di Amazon EKS with RBAC nel cluster per concedere configurazioni più specifiche. Per ulteriori informazioni, consulta A deep dive into simplified Amazon EKS access management controls (Approfondimento dei controlli semplificati di gestione degli accessi di Amazon EKS).

Informazioni correlate

Guida introduttiva ad Amazon EMR su Amazon EKS

Indirizza il traffico di applicazioni e HTTP con Application Load Balancer

Indirizza il traffico TCP e UDP con Network Load Balancer

Risolvi i problemi con i cluster e i nodi Amazon EKS