Konfiguration der EKS-Dashboard-Integration mit AWS Organizations - Amazon EKS
Vertrauenswürdigen Zugriff aktivierenSo deaktivieren Sie den vertrauenswürdigen ZugriffAktivieren eines delegierten AdministratorsDeaktivierung eines delegierten AdministratorkontosErforderliche Mindestanforderungen an IAM-Richtlinien

Unterstützung für die Verbesserung dieser Seite beitragen

Um zu diesem Benutzerhandbuch beizutragen, klicken Sie auf den Link Diese Seite auf GitHub bearbeiten, der sich im rechten Bereich jeder Seite befindet.

Konfiguration der EKS-Dashboard-Integration mit AWS Organizations

Dieser Abschnitt enthält eine schrittweise Anleitung zur Konfiguration der Integration des EKS-Dashboards mit AWS Organizations. Sie erfahren, wie Sie den vertrauenswürdigen Zugriff zwischen Services aktivieren und deaktivieren sowie delegierte Administratorkonten registrieren und deregistrieren können. Jede Konfigurationsaufgabe kann entweder über die AWS-Konsole oder die AWS CLI ausgeführt werden.

Vertrauenswürdigen Zugriff aktivieren

Durch vertrauenswürdigen Zugriff wird das EKS-Dashboard autorisiert, sicher auf Cluster-Informationen aller Konten in Ihrem Unternehmen zuzugreifen.

Verwenden der AWS-Konsole

  1. Melden Sie sich beim Verwaltungskonto Ihrer AWS-Organisation an.

  2. Navigieren Sie zur EKS-Konsole in der Region us-east-1.

  3. Wählen Sie in der linken Seitenleiste „Dashboard-Einstellungen“ aus.

  4. Klicken Sie auf Vertrauenswürdigen Zugriff aktivieren.

Anmerkung

Wenn Sie den vertrauenswürdigen Zugriff über die EKS-Konsole aktivieren, erstellt das System automatisch die AWSServiceRoleForAmazonEKSDashboard-serviceverknüpfte Rolle. Diese automatische Erstellung erfolgt nicht, wenn Sie den vertrauenswürdigen Zugriff über die AWS CLI oder die AWS-Organizations-Konsole aktivieren.

Verwenden der AWS CLI

  1. Melden Sie sich beim Verwaltungskonto Ihrer AWS-Organisation an.

  2. Führen Sie die folgenden Befehle aus:

    aws iam create-service-linked-role --aws-service-name dashboard.eks.amazonaws.com
aws organizations enable-aws-service-access --service-principal eks.amazonaws.com

So deaktivieren Sie den vertrauenswürdigen Zugriff

Durch die Deaktivierung des vertrauenswürdigen Zugriffs wird dem EKS-Dashboard die Berechtigung zum Zugriff auf Cluster-Informationen über die Konten Ihrer Organisation hinweg entzogen.

Verwenden der AWS-Konsole

  1. Melden Sie sich beim Verwaltungskonto Ihrer AWS-Organisation an.

  2. Navigieren Sie zur EKS-Konsole in der Region us-east-1.

  3. Wählen Sie in der linken Seitenleiste „Dashboard-Einstellungen“ aus.

  4. Klicken Sie auf Vertrauenswürdigen Zugriff deaktivieren.

Verwenden der AWS CLI

  1. Melden Sie sich beim Verwaltungskonto Ihrer AWS-Organisation an.

  2. Führen Sie den folgenden Befehl aus:

    aws organizations disable-aws-service-access --service-principal eks.amazonaws.com

Aktivieren eines delegierten Administrators

Ein delegierter Administrator ist ein Benutzerkonto, dem die Berechtigung zum Zugriff auf das EKS-Dashboard gewährt wurde.

Verwenden der AWS-Konsole

  1. Melden Sie sich beim Verwaltungskonto Ihrer AWS-Organisation an.

  2. Navigieren Sie zur EKS-Konsole in der Region us-east-1.

  3. Wählen Sie in der linken Seitenleiste „Dashboard-Einstellungen“ aus.

  4. Klicken Sie auf Delegierten Administrator registrieren.

  5. Geben Sie die Konto-ID des AWS-Kontos ein, das Sie als delegierten Administrator auswählen möchten.

  6. Bestätigen Sie die Registrierung.

Verwenden der AWS CLI

  1. Melden Sie sich beim Verwaltungskonto Ihrer AWS-Organisation an.

  2. Führen Sie den folgenden Befehl aus und ersetzen Sie 123456789012 durch Ihre Konto-ID:

    aws organizations register-delegated-administrator --account-id 123456789012 --service-principal eks.amazonaws.com

Deaktivierung eines delegierten Administratorkontos

Durch die Deaktivierung eines delegierten Administrators wird die Berechtigung des Kontos für den Zugriff auf das EKS-Dashboard entfernt.

Verwenden der AWS-Konsole

  1. Melden Sie sich beim Verwaltungskonto Ihrer AWS-Organisation an.

  2. Navigieren Sie zur EKS-Konsole in der Region us-east-1.

  3. Wählen Sie in der linken Seitenleiste „Dashboard-Einstellungen“ aus.

  4. Suchen Sie den delegierten Administrator in der Liste.

  5. Klicken Sie neben dem Konto, das Sie als delegierten Administrator entfernen möchten, auf Abmelden.

Verwenden der AWS CLI

  1. Melden Sie sich beim Verwaltungskonto Ihrer AWS-Organisation an.

  2. Führen Sie den folgenden Befehl aus und ersetzen Sie dabei 123456789012 durch die Konto-ID des delegierten Administrators:

    aws organizations deregister-delegated-administrator --account-id 123456789012 --service-principal eks.amazonaws.com

Erforderliche Mindestanforderungen an IAM-Richtlinien

Dieser Abschnitt beschreibt die Mindestanforderungen an IAM-Richtlinien, die für die Aktivierung des vertrauenswürdigen Zugriffs und die Delegierung eines Administrators für die EKS-Dashboard-Integration mit AWS Organizations erforderlich sind.

Richtlinie für die Gewährung vertrauenswürdigen Zugriffs

Um einen vertrauenswürdigen Zugriff zwischen EKS Dashboard und AWS Organizations zu ermöglichen, benötigen Sie die folgenden Berechtigungen:

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:DescribeOrganization",
                "organizations:ListAWSServiceAccessForOrganization"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/dashboard.eks.amazonaws.com/AWSServiceRoleForAmazonEKSDashboard"
        }
    ]
}

Richtlinie zur Übertragung von Administratorrechten

Um einen delegierten Administrator für das EKS-Dashboard zu registrieren oder zu deregistrieren, benötigen Sie die folgenden Berechtigungen:

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:RegisterDelegatedAdministrator",
                "organizations:DeregisterDelegatedAdministrator",
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": "*"
        }
    ]
}

Richtlinie zum Anzeigen des EKS-Dashboards

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AmazonEKSDashboardReadOnly",
            "Effect": "Allow",
            "Action": [
                "eks:ListDashboardData",
                "eks:ListDashboardResources",
                "eks:DescribeClusterVersions"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AmazonOrganizationsReadOnly",
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:ListRoots",
                "organizations:ListAccountsForParent",
                "organizations:ListOrganizationalUnitsForParent"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AmazonOrganizationsDelegatedAdmin",
            "Effect": "Allow",
            "Action": [
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "organizations:ServicePrincipal": "eks.amazonaws.com"
                }
            }
        }
    ]
}
Anmerkung

Diese Richtlinien müssen dem IAM-Prinzipal (Benutzer oder Rolle) im Verwaltungskonto Ihrer AWS Organization zugeordnet werden. Mitgliedskonten können keinen vertrauenswürdigen Zugriff aktivieren oder Administratoren delegieren.