如何对 Amazon EKS 集群中的 IAM 角色问题进行故障排除？

2 分钟阅读

我想管理我的 Amazon Elastic Kubernetes Service (Amazon EKS) 集群的 AWS Identity and Access Management (IAM) 角色，以减少与权限相关的问题。

简短描述

如果您没有访问 Amazon EKS 集群的正确权限，则可能会收到以下错误之一：

"Your current IAM principal doesn't have access to Kubernetes objects on this cluster"
"You must be logged in to the server (Unauthorized)"
"You must be logged in to the server (the server has asked for the client to provide credentials)"

这些错误可能是由于以下原因之一造成的：

要解决此问题，请完成以下任务。

**注意：**如果您在运行 AWS CLI 命令时收到错误，请参阅 AWS CLI 错误故障排除。此外，请确保您使用的是最新版本的 AWS CLI。

查看您的 AWS 凭证，以确保您的凭证有效且具有访问 Amazon EKS 集群所需的权限。如果您在运行 kubectl 命令时收到上述错误之一，则表明您未正确配置 kubectl。

要检查您的凭证，请运行 get-caller-identity AWS CLI 命令：

aws sts get-caller-identity

如果您为集群使用 kubeconfig 配置文件，请查看您的文件配置。如果配置不正确，请使用 update-kubeconfig 命令更新文件：

aws eks update-kubeconfig

使用配置映射的 Amazon EKS 集群

对于使用配置映射进行身份验证的 Amazon EKS 集群，请将 CLI 配置为使用相同的 IAM 身份来访问集群和编辑映射。如果没有能够访问 Amazon EKS 集群的身份，请代入集群创建者角色。然后，编辑配置映射。有关详细信息，请参阅在 Amazon EKS 中创建集群后，如何向其他 IAM 用户和角色提供集群访问权限？

如果您未看到列出的 IAM 身份，或者您错误地配置了 IAM 身份，请更新配置映射的 IAM 主体。有关详细信息，请参阅将 IAM 主体添加到 Amazon EKS 集群。

使用 API 身份验证的 Amazon EKS 集群

对于使用 Amazon EKS API 进行身份验证的 Amazon EKS 集群，您必须为 IAM 身份创建访问条目并提供正确的权限。

要验证 IAM 身份是否有对应的访问条目，请运行 list-access-entries 命令：

aws eks list-access-entries --cluster-name Your_cluster_name

**注意：**请将 Your_cluster_name 替换为您的集群的名称。

如果 IAM 身份没有对应的访问条目，请创建访问条目。此外，请确保 Amazon EKS 集群具有正确的访问策略。有关详细信息，请参阅将访问策略与访问条目关联起来。

**注意：**访问条目方法不会取代 Amazon EKS 中基于角色的授权控制 (RBAC)。您可以在集群中结合使用 Amazon EKS 访问条目与 RBAC，以实现更具体的配置。有关详细信息，请参阅 A deep dive into simplified Amazon EKS access management controls（深入了解简化的 Amazon EKS 访问管理控制）。