Bantu tingkatkan halaman ini
Ingin berkontribusi pada panduan pengguna ini? Gulir ke bagian bawah halaman ini dan pilih Edit halaman ini GitHub. Kontribusi Anda akan membantu membuat panduan pengguna kami lebih baik untuk semua orang.
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Pemecahan masalah IAM
Topik ini mencakup beberapa kesalahan umum yang mungkin Anda lihat saat menggunakan Amazon EKS IAM dan cara mengatasinya.
AccessDeniedException
Jika Anda menerima AccessDeniedException saat memanggil AWS API operasi, kredensyal IAMutama yang Anda gunakan tidak memiliki izin yang diperlukan untuk melakukan panggilan tersebut.
An error occurred (AccessDeniedException) when calling the DescribeCluster operation: User: arn:aws:iam::111122223333:user/user_nameis not authorized to perform: eks:DescribeCluster on resource: arn:aws:eks:region:111122223333:cluster/my-cluster
Dalam pesan contoh sebelumnya, pengguna tidak memiliki izin untuk memanggil EKS DescribeCluster API operasi Amazon. Untuk memberikan izin EKS admin Amazon kepada IAM kepala sekolah, lihatContoh EKS kebijakan berbasis identitas Amazon.
Untuk informasi umum selengkapnyaIAM, lihat Mengontrol akses menggunakan kebijakan di Panduan IAM Pengguna.
Tidak dapat melihat Node di tab Compute atau apa pun di tab Resources dan Anda menerima kesalahan di AWS Management Console
Anda mungkin melihat pesan kesalahan konsol yang menyatakan Your current user or role does not
have access to Kubernetes objects on this EKS cluster. Pastikan bahwa pengguna IAMutama yang Anda gunakan AWS Management Console dengan memiliki izin yang diperlukan. Untuk informasi selengkapnya, lihat Izin yang diperlukan.
aws-auth ConfigMap tidak memberikan akses ke cluster
AWS IAMAuthenticatorConfigMap Karena itu, sebelum Anda tentukan rolearn, hapus jalur. Misalnya, perubahan arn:aws:iam:: ke 111122223333:role/team/developers/eks-adminarn:aws:iam::.111122223333:role/eks-admin
Saya tidak berwenang untuk melakukan iam: PassRole
Jika Anda menerima kesalahan bahwa Anda tidak diizinkan untuk melakukan iam:PassRole tindakan, kebijakan Anda harus diperbarui agar Anda dapat meneruskan peran ke AmazonEKS.
Beberapa Layanan AWS memungkinkan Anda untuk meneruskan peran yang ada ke layanan tersebut alih-alih membuat peran layanan baru atau peran terkait layanan. Untuk melakukannya, Anda harus memiliki izin untuk meneruskan peran ke layanan.
Contoh kesalahan berikut terjadi ketika IAM pengguna bernama marymajor mencoba menggunakan konsol untuk melakukan tindakan di AmazonEKS. Namun, tindakan tersebut memerlukan layanan untuk mendapatkan izin yang diberikan oleh peran layanan. Mary tidak memiliki izin untuk meneruskan peran tersebut pada layanan.
User: arn:aws:iam::123456789012:user/marymajoris not authorized to perform: iam:PassRole
Dalam kasus ini, kebijakan Mary harus diperbarui agar dia mendapatkan izin untuk melakukan tindakan iam:PassRole tersebut.
Jika Anda memerlukan bantuan, hubungi AWS administrator Anda. Administrator Anda adalah orang yang memberi Anda kredensial masuk.
Saya ingin mengizinkan orang di luar AWS akun saya untuk mengakses EKS sumber daya Amazon saya
Anda dapat membuat peran yang dapat digunakan pengguna di akun lain atau orang-orang di luar organisasi Anda untuk mengakses sumber daya Anda. Anda dapat menentukan siapa saja yang dipercaya untuk mengambil peran tersebut. Untuk layanan yang mendukung kebijakan berbasis sumber daya atau daftar kontrol akses (ACLs), Anda dapat menggunakan kebijakan tersebut untuk memberi orang akses ke sumber daya Anda.
Untuk mempelajari selengkapnya, periksa referensi berikut:
-
Untuk mengetahui apakah Amazon EKS mendukung fitur-fitur ini, lihatBagaimana Amazon EKS bekerja dengan IAM.
-
Untuk mempelajari cara menyediakan akses ke sumber daya Anda di seluruh sumber daya Akun AWS yang Anda miliki, lihat Menyediakan akses ke IAM pengguna lain Akun AWS yang Anda miliki di Panduan IAM Pengguna.
-
Untuk mempelajari cara menyediakan akses ke sumber daya Anda kepada pihak ketiga Akun AWS, lihat Menyediakan akses yang Akun AWS dimiliki oleh pihak ketiga dalam Panduan IAM Pengguna.
-
Untuk mempelajari cara menyediakan akses melalui federasi identitas, lihat Menyediakan akses ke pengguna yang diautentikasi secara eksternal (federasi identitas) di Panduan Pengguna. IAM
-
Untuk mempelajari perbedaan antara menggunakan peran dan kebijakan berbasis sumber daya untuk akses lintas akun, lihat Akses sumber daya lintas akun di IAM Panduan Pengguna. IAM
Kontainer pod menerima kesalahan berikut: An error occurred (SignatureDoesNotMatch) when calling
the GetCallerIdentity operation: Credential should be scoped to a valid
region
Container Anda menerima error ini jika aplikasi Anda secara eksplisit membuat permintaan ke endpoint AWS STS global (https://sts.amazonaws) dan akun Kubernetes layanan Anda dikonfigurasi untuk menggunakan endpoint regional. Anda dapat menyelesaikan masalah dengan salah satu opsi berikut:
-
Perbarui kode aplikasi Anda untuk menghapus panggilan eksplisit ke titik akhir AWS STS global.
-
Perbarui kode aplikasi Anda untuk membuat panggilan eksplisit ke titik akhir regional seperti.
https://sts.us-west-2.amazonaws.comAplikasi Anda harus memiliki redundansi bawaan untuk memilih Wilayah AWS yang berbeda jika terjadi kegagalan layanan di. Wilayah AWS Untuk informasi selengkapnya, lihat Mengelola AWS STSWilayah AWS dalam Panduan IAM Pengguna. -
Konfigurasikan akun layanan Anda untuk menggunakan titik akhir global. Semua versi sebelumnya
1.22menggunakan titik akhir global secara default, tetapi versi1.22dan kluster yang lebih baru menggunakan titik akhir regional secara default. Untuk informasi selengkapnya, lihat Konfigurasikan AWS Security Token Service titik akhir untuk akun layanan.
