L’utilisateur ne peut pas obtenir les ressources de cluster
Cet article explique comment résoudre les problèmes qui se produisent lorsque vous ne pouvez pas obtenir les détails d’une ressource dans un cluster Azure Kubernetes Service (AKS).
Conditions préalables
- Outil en ligne de commande du cluster Kubernetes (kubectl).
Remarque
Si vous utilisez Azure Cloud Shell pour exécuter des commandes shell, kubectl est déjà installé. Si vous utilisez un interpréteur de commandes local et qu’Azure CLI est déjà installé, vous pouvez également installer kubectl en exécutant la commande az aks install-cli .
Symptômes
Si vous exécutez kubectl pour obtenir les détails d’un nœud de cluster AKS, le message d’erreur suivant peut s’afficher :
$ kubectl get nodes
Error from server (Forbidden): nodes is forbidden: User "aaaa11111-11aa-aa11-a1a1-111111aaaaa" cannot list resource "nodes" in API group "" at the cluster scope
Cause 1 : Autorisations de liaison de rôle et de rôle incorrectes
Lorsque vous activez le contrôle d’accès en fonction du rôle (RBAC) pour votre cluster AKS, vous contrôlez les autorisations d’un utilisateur via les paramètres Role et RoleBinding (ou ClusterRoleBinding et ClusterRoleBinding). Si un utilisateur n’a pas défini les autorisations appropriées, l’utilisateur voit des erreurs lorsqu’il tente d’obtenir les détails d’une ressource dans le cluster.
Solution : Définir les rôles et les liaisons de rôle appropriés
Veillez à définir les paramètres Role et RoleBinding appropriés pour l’utilisateur. Pour obtenir des exemples détaillés, consultez Utiliser le contrôle d’accès en fonction du rôle kubernetes avec l’intégration Microsoft Entra.
Cause 2 : Attributions d’accès incorrectes au sein d’un groupe de sécurité
Si AKS gère l’intégration avec Microsoft Entra ID, l’utilisateur risque de ne pas avoir l’affectation correcte pour le groupe de sécurité.
Solution : Faire en ce que l’administrateur du groupe de sécurité attribue le niveau d’accès approprié
Vérifiez que l’administrateur du groupe de sécurité a attribué à votre compte une attribution d’accès actif ou conditionnel. Consultez Intégration des Microsoft Entra gérées par AKS. Cet article contient des instructions pour définir l’affectation active ou l’attribution d’accès conditionnel.
Contactez-nous pour obtenir de l’aide
Pour toute demande ou assistance, créez une demande de support ou posez une question au support de la communauté Azure. Vous pouvez également soumettre des commentaires sur les produits à la communauté de commentaires Azure.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour