1. ホーム
  2. azure

[解決済み] Azure Kubernetes "az aks get-credentials "コマンドの実行時のエラーについて

2022-02-03 15:28:50

質問

Azure Adminsは私たちのためにクラスターを作成しました。 VMに "az cli" and "kubectl" . Azure Portal から私のアカウントで、Kubernetes サービスとその所属する Resource Group を見ることができます。 Azure Portal のそのクラスタのレベルからは、私がロールを持っていることがわかります。

<ブロッククオート

AKS Cluster Admin Operator"

私は自分のアカウントでkubectlを使用してVMにログインしています。私は私たちのクラスタで動作するように私のkubectlを設定する必要があります。 私は実行しようとすると。

az aks get-credentials --resource-group FRONT-AKS-NA2 --name front-aks

エラーが発生します。

ForbiddenError: クライアント 'my_name@my_comp.COM' のオブジェクト ID は 4ea46ad637c6' は、アクションを実行する権限を持っていません。 'Microsoft.ContainerService/managedClusters/listClusterUserCredential/action' です。 スコープ以上 '/subscriptions/89e05d73-8862-4007-a700-0f895fc0f7ea/resourceGroups/FRONT-AKS-NA2/providers/Microsoft.ContainerService/managedClusters/front-aks' とする。 またはスコープが無効です。最近アクセスが許可された場合は、次のことを行ってください。 認証情報を更新してください。

解決するには?

さて、コメントを拝見したところ、すでに解決策をお持ちのようですね。そこで、私はその違いを説明することができます。それがあなたの助けになることを願っています。

コマンドを使用する場合 az aks get-credentials パラメータなしで --admin の場合、CLIコマンドは デフォルト値 : クラスター・ユーザー。そして、クラスターユーザーを使う場合、AKSとAADを統合すればうまくいくだけです。しかし、あなたは、ただ AKS Cluster Admin Operator ロールを使用するため、適切なパラメータは --admin . 詳細な情報を得ることができます こちら .

で、私のほうは、ちょっと危険なんです。AKSクラスタがテスト用だけであれば問題ないのですが。しかし、本番用であれば、AADと統合して、適切なパーミッションをユーザーに与えることをお勧めします。管理者ユーザーということは、すべてのパーミッションを持っているということですから、ほら、危ないじゃないですか。