L'utente non può ottenere le risorse del cluster
Questo articolo descrive come risolvere i problemi che si verificano quando non è possibile ottenere i dettagli di una risorsa in un cluster servizio Azure Kubernetes (servizio Azure Kubernetes).
Prerequisiti
- Strumento da riga di comando del cluster Kubernetes (kubectl).
Nota
Se si usa Azure Cloud Shell per eseguire i comandi della shell, kubectl è già installato. Se si usa una shell locale e l'interfaccia della riga di comando di Azure è già installata, è possibile installare kubectl eseguendo il comando az aks install-cli .
Sintomi
Se si esegue kubectl per ottenere i dettagli di un nodo del cluster del servizio Azure Kubernetes, potrebbe essere visualizzato il messaggio di errore seguente:
$ kubectl get nodes
Error from server (Forbidden): nodes is forbidden: User "aaaa11111-11aa-aa11-a1a1-111111aaaaa" cannot list resource "nodes" in API group "" at the cluster scope
Causa 1: Autorizzazioni di associazione di ruoli e ruoli non corrette
Quando si abilita il controllo degli accessi in base al ruolo per il cluster del servizio Azure Kubernetes, si controllano le autorizzazioni per un utente tramite le impostazioni Role e RoleBinding (o ClusterRole e ClusterRoleBinding). Se un utente non ha definito le autorizzazioni corrette, l'utente visualizza errori quando tenta di ottenere i dettagli di una risorsa nel cluster.
Soluzione: impostare i ruoli e le associazioni di ruolo corretti
Assicurarsi di impostare il ruolo e RoleBinding corretti per l'utente. Per esempi dettagliati, vedere Use Kubernetes RBAC with Microsoft Entra integration (Usare il controllo degli accessi in base al ruolo kubernetes con l'integrazione di Microsoft Entra).
Causa 2: Assegnazioni di accesso non corrette all'interno di un gruppo di sicurezza
Se il servizio Azure Kubernetes gestisce l'integrazione con Microsoft Entra ID, l'utente potrebbe non avere l'assegnazione corretta per il gruppo di sicurezza.
Soluzione: fare in modo che l'amministratore del gruppo di sicurezza assegni il livello di accesso corretto
Assicurarsi che l'amministratore del gruppo di sicurezza abbia assegnato all'account un'assegnazione di accesso attivo o condizionale. Vedere Integrazione dei Microsoft Entra gestiti dal servizio Azure Kubernetes. Questo articolo contiene istruzioni per l'impostazione dell'assegnazione attiva o dell'accesso condizionale.
Contattaci per ricevere assistenza
In caso di domande o bisogno di assistenza, creare una richiesta di supporto tecnico oppure formula una domanda nel Supporto della community di Azure. È possibile anche inviare un feedback sul prodotto al feedback della community di Azure.