El usuario no puede obtener recursos de clúster
En este artículo se describe cómo corregir los problemas que se producen cuando no se pueden obtener los detalles de un recurso en un clúster de Azure Kubernetes Service (AKS).
Requisitos previos
- Herramienta de línea de comandos del clúster de Kubernetes (kubectl).
Nota:
Si usa Azure Cloud Shell para ejecutar comandos de shell, kubectl ya está instalado. Si usa un shell local y ya tiene instalada la CLI de Azure , también puede instalar kubectl mediante la ejecución del comando az aks install-cli .
Síntomas
Si ejecuta kubectl para obtener los detalles de un nodo de clúster de AKS, es posible que vea el siguiente mensaje de error:
$ kubectl get nodes
Error from server (Forbidden): nodes is forbidden: User "aaaa11111-11aa-aa11-a1a1-111111aaaaa" cannot list resource "nodes" in API group "" at the cluster scope
Causa 1: Permisos incorrectos de enlace de roles y roles
Al habilitar el control de acceso basado en rol (RBAC) para el clúster de AKS, se controlan los permisos de un usuario mediante la configuración de Role y RoleBinding (o ClusterRole y ClusterRoleBinding). Si un usuario no ha definido los permisos correctos, el usuario ve errores cuando intenta obtener los detalles de un recurso en el clúster.
Solución: establecer los roles y enlaces de roles correctos
Asegúrese de establecer el role y roleBinding correctos para el usuario. Para obtener ejemplos detallados, consulte Uso de RBAC de Kubernetes con Microsoft Entra integración.
Causa 2: Asignaciones de acceso incorrectas dentro de un grupo de seguridad
Si AKS administra la integración con Microsoft Entra ID, es posible que el usuario no tenga la asignación correcta para el grupo de seguridad.
Solución: Haga que el administrador del grupo de seguridad asigne el nivel de acceso correcto.
Asegúrese de que el administrador del grupo de seguridad ha asignado a su cuenta una asignación de acceso condicional o activo. Consulte Integración de Microsoft Entra administrada por AKS. En este artículo se proporcionan instrucciones para establecer la asignación activa o la asignación de acceso condicional.
Ponte en contacto con nosotros para obtener ayuda
Si tiene preguntas o necesita ayuda, cree una solicitud de soporte o busque consejo en la comunidad de Azure. También puede enviar comentarios sobre el producto con los comentarios de la comunidad de Azure.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de