El usuario no puede obtener recursos de clúster

  • Artículo
  • Tiempo de lectura: 2 minutos

En este artículo se describe cómo solucionar los problemas que se producen cuando no se pueden obtener los detalles de un recurso en un clúster del Servicio de Kubernetes de Azure (AKS).

Requisitos previos

  • La herramienta de línea de comandos del clúster kubernetes (kubectl).

Nota

Si usa Azure Cloud Shell para ejecutar comandos de shell, kubectl ya está instalado. Si usa un shell local y ya tiene instalada la CLI de Azure , también puede instalar kubectl ejecutando el comando az aks install-cli .

Síntomas

Si ejecuta kubectl para obtener los detalles de un nodo de clúster de AKS, es posible que vea el siguiente mensaje de error:

$ kubectl get nodes
Error from server (Forbidden): nodes is forbidden: User "aaaa11111-11aa-aa11-a1a1-111111aaaaa" cannot list resource "nodes" in API group "" at the cluster scope

Causa 1: Permisos incorrectos de enlace de roles y roles

Al habilitar el control de acceso basado en roles (RBAC) para el clúster de AKS, se controlan los permisos de un usuario a través de las opciones Role y RoleBinding (o ClusterRole y ClusterRoleBinding). Si un usuario no ha definido los permisos correctos, el usuario ve errores cuando intenta obtener los detalles de un recurso en el clúster.

Solución: establecer los roles y enlaces de roles correctos

Asegúrese de establecer el rol correcto y RoleBinding para el usuario. Para obtener ejemplos detallados, vea Use Kubernetes RBAC with Azure AD integration.

Causa 2: Asignaciones de acceso incorrectas dentro de un grupo de seguridad

Si AKS administra la integración con Azure Active Directory (Azure AD), es posible que el usuario no tenga la asignación correcta para el grupo de seguridad.

Solución: haga que el administrador del grupo de seguridad asigne el nivel de acceso correcto

Asegúrese de que el administrador del grupo de seguridad haya asignado a su cuenta una asignación de acceso activo o condicional. Consulte Integración Azure Active Directory AKS. En este artículo se proporcionan instrucciones para establecer la asignación activa o la asignación de acceso condicional.