Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Preferencias
Contacte con nosotros
Comentarios
AWS Documentation
Cree una cuenta AWS

Comprensión de roles y usuarios de RBAC creados por Amazon EKS

PDF
RSS
Modo de enfoque
Comprensión de roles y usuarios de RBAC creados por Amazon EKS - Amazon EKS
AWS Management ConsoleKubectl

Ayude a mejorar esta página

Para contribuir a esta guía del usuario, elija el enlace Edit this page on GitHub que se encuentra en el panel derecho de cada página.

Ayude a mejorar esta página

Para contribuir a esta guía del usuario, elija el enlace Edit this page on GitHub que se encuentra en el panel derecho de cada página.

Al crear un clúster de Kubernetes, se crean varias identidades de Kubernetes predeterminadas en ese clúster para el correcto funcionamiento de Kubernetes. Amazon EKS crea identidades de Kubernetes para cada uno de sus componentes predeterminados. Las identidades proporcionan un control de autorización basado en roles (RBAC) de Kubernetes para los componentes del clúster. Para obtener más información, consulte Utilización de la autorización de RBAC en la documentación de Kubernetes.

Al instalar complementos opcionales en el clúster, es posible que se agreguen identidades de Kubernetes adicionales al clúster. Para obtener más información sobre las identidades no abordadas en este tema, consulte la documentación del complemento.

Puede ver la lista de identidades de Kubernetes creadas por Amazon EKS en su clúster mediante la AWS Management Console o la herramienta de línea de comandos de kubectl. Todas las identidades de usuario aparecen en los registros de auditoría de kube disponibles para los clientes a través de Amazon CloudWatch.

AWS Management Console

Requisito previo

La entidad principal de IAM que utilice debe tener los permisos que se describen en Permisos necesarios.

Para ver las identidades creadas por Amazon EKS mediante la AWS Management Console

  1. Abra la consola de Amazon EKS.

  2. En la lista Clusters (Clústeres), seleccione el clúster que contiene las identidades que desea ver.

  3. Elija la pestaña Recursos.

  4. En Resource types (Tipos de recursos), elija Authorization (Autorización).

  5. Elija ClusterRoles, ClusterRoleBindings, Roles o RoleBindings. Amazon EKS crea todos los recursos con el prefijo eks. Los recursos de identidad adicionales creados por Amazon EKS son los siguientes:

    • El ClusterRole y el ClusterRoleBinding, que se denominan aws-node. Los recursos de aws-node admiten el complemento de la CNI de Amazon VPC para Kubernetes, que Amazon EKS instala en todos los clústeres.

    • Un ClusterRole llamado vpc-resource-controller-role y un ClusterRoleBinding llamado vpc-resource-controller-rolebinding. Estos recursos son compatibles con el controlador de recursos de Amazon VPC, que Amazon EKS instala en todos los clústeres.

    Además de los recursos que ve en la consola, existen las siguientes identidades de usuario especiales en su clúster, aunque no están visibles en la configuración del clúster:

    • eks:cluster-bootstrap : se utiliza para operaciones de kubectl durante el arranque del clúster.

    • eks:support-engineer : se utiliza para operaciones de administración de clústeres.

  6. Elija un recurso específico para ver detalles sobre él. De forma predeterminada, se muestra la información en la Vista estructurada. En la esquina superior derecha de la página de detalles de la, elija la vista de sin procesar para ver toda la información del recurso.

Kubectl

Requisito previo

La entidad que utilice (AWS Identity and Access Management [IAM] u OpenID Connect [OIDC]) para enumerar los recursos de Kubernetes del clúster debe estar autenticada por IAM o por su proveedor de identidad de OIDC. Se deben conceder permisos a la entidad para usar los verbos de get y list de Kubernetes de los recursos del clúster Role, ClusterRole, RoleBinding y ClusterRoleBinding con los que desea que trabaje la entidad. Para obtener más información sobre cómo conceder acceso de entidades de IAM a su clúster, consulte Concesión a los usuarios y roles de IAM de acceso a las API de Kubernetes. Para obtener más información sobre cómo conceder acceso de entidades autenticadas mediante su propio proveedor de OIDC a su clúster, consulte Concesión de acceso a Kubernetes con un proveedor de OIDC externo para los usuarios.

Para ver las identidades creadas por Amazon EKS mediante kubectl

Ejecute el comando para el tipo de recurso que desea ver. Todos los recursos devueltos que llevan el prefijo eks son creados por Amazon EKS. Además de los recursos devueltos en la salida de los comandos, existen las siguientes identidades de usuario especiales en su clúster, aunque no están visibles en la configuración del clúster:

  • eks:cluster-bootstrap : se utiliza para operaciones de kubectl durante el arranque del clúster.

  • eks:support-engineer : se utiliza para operaciones de administración de clústeres.

ClusterRoles: ClusterRoles están dentro del ámbito de su clúster, por lo que cualquier permiso otorgado a un rol se aplica a los recursos de cualquier espacio de nombres de Kubernetes del clúster.

El siguiente comando devuelve todos los ClusterRoles de Kubernetes de Amazon EKS creados en su clúster.

kubectl get clusterroles | grep eks

Además de los ClusterRoles devueltos en la salida con el prefijo, existen los siguientes ClusterRoles.

Para ver la especificación de un ClusterRole, sustituya eks:k8s-metrics en el siguiente comando por el ClusterRole devuelto en el resultado del comando anterior. El siguiente ejemplo devuelve la especificación de ClusterRole eks:k8s-metrics.

kubectl describe clusterrole eks:k8s-metrics

Un ejemplo de salida sería el siguiente.

Name:         eks:k8s-metrics
Labels:       <none>
Annotations:  <none>
PolicyRule:
  Resources         Non-Resource URLs  Resource Names  Verbs
  ---------         -----------------  --------------  -----
                    [/metrics]         []              [get]
  endpoints         []                 []              [list]
  nodes             []                 []              [list]
  pods              []                 []              [list]
  deployments.apps  []                 []              [list]

ClusterRoleBindings: ClusterRoleBindings está dentro del ámbito de su clúster.

El siguiente comando devuelve todos los ClusterRoleBindings de Kubernetes de Amazon EKS creados en su clúster.

kubectl get clusterrolebindings | grep eks

Además de los ClusterRoleBindings devueltos en la salida, existen los siguientes ClusterRoleBindings.

Para ver la especificación de un ClusterRoleBinding, sustituya eks:k8s-metrics en el siguiente comando por el ClusterRoleBinding devuelto en el resultado del comando anterior. El siguiente ejemplo devuelve la especificación de ClusterRoleBinding eks:k8s-metrics.

kubectl describe clusterrolebinding eks:k8s-metrics

Un ejemplo de salida sería el siguiente.

Name:         eks:k8s-metrics
Labels:       <none>
Annotations:  <none>
Role:
  Kind:  ClusterRole
  Name:  eks:k8s-metrics
Subjects:
  Kind  Name             Namespace
  ----  ----             ---------
  User  eks:k8s-metrics

Roles: Roles se limitan a un espacio de nombres de Kubernetes. Todos los Roles de Amazon EKS creados están incluidos en el espacio de nombres de kube-system.

El siguiente comando devuelve todos los Roles de Kubernetes de Amazon EKS creados en su clúster.

kubectl get roles -n kube-system | grep eks

Para ver la especificación de un Role, sustituya eks:k8s-metrics en el siguiente comando por el nombre del Role devuelto en el resultado del comando anterior. El siguiente ejemplo devuelve la especificación de Role eks:k8s-metrics.

kubectl describe role eks:k8s-metrics -n kube-system

Un ejemplo de salida sería el siguiente.

Name:         eks:k8s-metrics
Labels:       <none>
Annotations:  <none>
PolicyRule:
  Resources         Non-Resource URLs  Resource Names             Verbs
  ---------         -----------------  --------------             -----
  daemonsets.apps   []                 [aws-node]                 [get]
  deployments.apps  []                 [vpc-resource-controller]  [get]

RoleBindings: RoleBindings se circunscriben a un espacio de nombres de Kubernetes. Todos los RoleBindings de Amazon EKS creados están incluidos en el espacio de nombres de kube-system.

El siguiente comando devuelve todos los RoleBindings de Kubernetes de Amazon EKS creados en su clúster.

kubectl get rolebindings -n kube-system | grep eks

Para ver la especificación de un RoleBinding, sustituya eks:k8s-metrics en el siguiente comando por el RoleBinding devuelto en el resultado del comando anterior. El siguiente ejemplo devuelve la especificación de RoleBinding eks:k8s-metrics.

kubectl describe rolebinding eks:k8s-metrics -n kube-system

Un ejemplo de salida sería el siguiente.

Name:         eks:k8s-metrics
Labels:       <none>
Annotations:  <none>
Role:
  Kind:  Role
  Name:  eks:k8s-metrics
Subjects:
  Kind  Name             Namespace
  ----  ----             ---------
  User  eks:k8s-metrics

En esta página

PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.