Wie behebe ich Probleme mit Zugriffseinträgen in meinem Amazon EKS-Cluster?

Behebung

Voraussetzung: Dein Amazon EKS-Cluster läuft auf Kubernetes Version 1.23 oder höher.

Hinweis: Wenn du beim Ausführen von AWS Command Line Interface (AWS CLI)-Befehlen Fehlermeldungen erhältst, findest du weitere Informationen dazu unter Problembehandlung bei der AWS CLI. Stelle außerdem sicher, dass du die neueste Version der AWS CLI verwendest.

Fehler im Authentifizierungsmodus

Du erhältst die folgenden Fehlermeldungen, wenn du den Authentifizierungsmodus eines Clusters änderst:

• „An error occurred (InvalidParameterException) when calling the UpdateClusterConfig operation: Unsupported authentication mode update from API_AND_CONFIG_MAP to CONFIG_MAP.“
• „An error occurred (InvalidParameterException) when calling the UpdateClusterConfig operation: Unsupported authentication mode update from API to CONFIG_MAP.“
• „An error occurred (InvalidParameterException) when calling the UpdateClusterConfig operation: Unsupported authentication mode update from API to API_AND_CONFIG_MAP.“

Wenn du den Authentifizierungsmodus festlegst, kannst du den Vorgang nicht rückgängig machen. Nachdem du beispielsweise den Modus auf API geändert hast, kannst du nicht zu CONFIG_MAP oder API_AND_CONFIG_MAP zurückkehren. Weitere Informationen findest du unter Ein tiefer Einblick in die vereinfachten Amazon EKS-Zugriffsmanagementsteuerungen.

Um Fehler im Authentifizierungsmodus zu vermeiden, verwende Zugriffseinträge anstelle der aws-auth ConfigMap.

Fehler „AccessDeniedException“

Du erhältst eine Fehlermeldung, wenn der AWS Identity and Access Management (IAM)-Prinzipal nicht über ausreichende Berechtigungen zur Verwendung von Zugriffseinträgen verfügt. Die Fehlermeldung ähnelt der folgenden:

„An error occurred (AccessDeniedException) when calling the CreateAccessEntry operation: User: [principalARN] is not authorized to perform: eks:CreateAccessEntry on resource: arn:aws:eks:us-east-1:000000000:cluster/your-eks-cluster.“

Um dieses Problem zu beheben, füge der IAM-Richtlinie des IAM-Prinzipals, der die Anfrage stellt, die folgenden Berechtigungen hinzu:

• CreateAccessEntry
• ListAccessEntries
• DescribeAccessEntry
• DeleteAccessEntry
• UpdateAccessEntry

Probleme bei der Migration oder Aktualisierung von CONFIG_MAP zu API_AND_CONFIG_MAP

Die folgende Benachrichtigung wird angezeigt, wenn du deine Zugriffseinträge von CONFIG_MAP zu API_AND_CONFIG_MAP migrierst oder aktualisierst:

„The mapping of the node IAM role defined in the existing ConfigMap/AWS-Auth was automatically added as an access entry. However, in aws-auth, this role is defined as two system:nodes/system:bootstrappers group, but at the access entry side it only has system:nodes/.“

Es gibt keinen Fehler, den du beheben musst, da der Migrationsprozess deine Knoten-IAM-Rollen standardmäßig der Gruppe system:nodes zuordnet.

Nachdem du deine Zugriffseinträge migriert hast, benötigst du die aws-auth ConfigMap- oder IAM-Zugriffseintragskonfigurationen, die die system:bootstrappers-Gruppe gewährt, nicht mehr. Deine Knoten können alle Vorgänge mit den Berechtigungen ausführen, die die Gruppe system:nodes gewährt. Die Gruppe system:nodes bestätigt, dass bei der Migration von CONFIG_MAP zu API_AND_CONFIG_MAP unnötige Gruppen aus dem Zugriffseintrag entfernt wurden.

Tippfehler

Der folgende Fehler tritt auf, wenn du keine IAM-Rolle als Ziel-IAM-Prinzipal für den Zugriffseintrag festlegst:

„AccessEntry principalArn must be IAM role when using types [EC2_LINUX, EC2_WINDOWS, FARGATE_LINUX].“

Verwende einen der folgenden Zugriffseintragstypen, um dieses Problem zu beheben:

• EC2_LINUX
• EC2_WINDOWS
• FARGATE_LINUX

Weitere Informationen zu Zugriffseintragstypen findest du unter Zugriffseinträge erstellen.

Fehler im Nutzernamen

Wenn du beim Erstellen eines Zugriffseintrags einen falschen Benutzernamen angibst, erhältst du die folgende Fehlermeldung:

„The username must not begin with [eks:, aws:, system:, amazon:, iam:].“

Wenn du deinen eigenen Benutzernamen angibst, kannst du den Benutzernamen nicht mit den folgenden Präfixen beginnen:

• eks:
• aws:
• system:
• amazon:
• iam:

Um dieses Problem zu lösen, stelle sicher, dass dein Benutzername den Benutzernamenanforderungen für Zugriffseinträge entspricht. Weitere Informationen zu den Benutzernamenanforderungen findest du unter Zugriffseinträge erstellen.

Hinweis: Um mögliche Fehler zu vermeiden, empfiehlt es sich, Amazon EKS automatisch einen Nutzernamen für dich generieren zu lassen.

Berechtigungsfehler

Du erhältst Berechtigungsfehler, weil Amazon EKS nicht bestätigt, dass Kubernetes-Objekte zur rollenbasierten Zugriffskontrolle (RBAC) in deinem Cluster deine angegebenen Gruppennamen enthalten. Amazon EKS überprüft nicht, ob die von dir angegebenen Gruppennamen in Bindungen auf deinem Cluster vorhanden sind.

Gehe wie folgt vor, um dieses Problem zu beheben:

• Stelle sicher, dass deine aws-auth ConfigMap- oder IAM-Zugriffseinträge erfolgreich die Gruppen erstellen, die du in Kubernetes RoleBinding oder ClusterRoleBinding als Betreff angegeben hast.
• Prüfe, ob die Schreibweise und Formatierung für Verweise auf eine Kubernetes-Gruppe in deinem Zugriffseintrag korrekt sind.

Fehler bei serviceverknüpften Rollen

Wenn du beim Erstellen eines Zugriffseintrags eine serviceverknüpfte Rolle angibst, wird die folgende Fehlermeldung angezeigt:

„The caller is not allowed to modify access entries with a principalArn value of a Service Linked Role.“

Zugriffseinträge unterstützen keine serviceverknüpften Rollen. Du kannst also keine Zugriffseinträge erstellen, wenn der primäre Amazon-Ressourcenname (ARN) eine serviceverknüpfte Rolle ist. Du kannst serviceverknüpfte Rollen anhand ihres ARN identifizieren. Beispielsweise ist der ARN arn:aws:iam::*:role/aws-service-role/* für eine serviceverknüpfte Rolle.

Um serviceverknüpften Rollen Zugriff auf deinen Cluster zu gewähren, verwende den Authentifizierungsmodus CONFIG_MAP oder API_AND_CONFIG_MAP, um die serviceverknüpfte Rolle in der aws-auth ConfigMap anzugeben.

Ähnliche Informationen

IAM-Benutzern Zugriff auf Kubernetes mit einer ConfigMap gewähren