Konfiguration der EKS-Dashboard-Integration mit AWS Organizations - Amazon EKS

Hilf mit, diese Seite zu verbessern

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wenn Sie zu diesem Benutzerhandbuch beitragen möchten, wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfiguration der EKS-Dashboard-Integration mit AWS Organizations

Dieser Abschnitt enthält step-by-step Anweisungen zur Konfiguration der Integration des EKS-Dashboards mit AWS Organizations. Sie erfahren, wie Sie den vertrauenswürdigen Zugriff zwischen Diensten aktivieren und deaktivieren und wie Sie delegierte Administratorkonten registrieren und abmelden. Jede Konfigurationsaufgabe kann entweder über die AWS Konsole oder die AWS CLI ausgeführt werden.

Den vertrauenswürdigen Zugriff aktivieren

Vertrauenswürdiger Zugriff autorisiert das EKS-Dashboard, sicher auf Clusterinformationen aller Konten in Ihrer Organisation zuzugreifen.

Verwenden der Konsole AWS

  1. Loggen Sie sich in das Verwaltungskonto Ihrer AWS Organisation ein.

  2. Navigieren Sie zur EKS-Konsole in der Region us-east-1.

  3. Wählen Sie in der linken Seitenleiste Dashboard-Einstellungen aus.

  4. Klicken Sie auf Vertrauenswürdigen Zugriff aktivieren.

Anmerkung

Wenn Sie den vertrauenswürdigen Zugriff über die EKS-Konsole aktivieren, erstellt das System automatisch die AWSServiceRoleForAmazonEKSDashboard serviceverknüpfte Rolle. Diese automatische Erstellung erfolgt nicht, wenn Sie den vertrauenswürdigen Zugriff über die AWS CLI oder die AWS Organisationskonsole aktivieren.

Verwenden der AWS CLI

  1. Melden Sie sich beim Verwaltungskonto Ihrer AWS Organisation an.

  2. Führen Sie die folgenden Befehle aus:

    aws iam create-service-linked-role --aws-service-name dashboard.eks.amazonaws.com aws organizations enable-aws-service-access --service-principal eks.amazonaws.com

So deaktivieren Sie den vertrauenswürdigen Zugriff

Durch die Deaktivierung des vertrauenswürdigen Zugriffs wird dem EKS-Dashboard die Berechtigung entzogen, auf Clusterinformationen aller Konten Ihrer Organisation zuzugreifen.

Verwenden der Konsole AWS

  1. Loggen Sie sich in das Verwaltungskonto Ihrer AWS Organisation ein.

  2. Navigieren Sie zur EKS-Konsole in der Region us-east-1.

  3. Wählen Sie in der linken Seitenleiste Dashboard-Einstellungen aus.

  4. Klicken Sie auf Vertrauenswürdigen Zugriff deaktivieren.

Verwenden der AWS CLI

  1. Melden Sie sich beim Verwaltungskonto Ihrer AWS Organisation an.

  2. Führen Sie den folgenden Befehl aus:

    aws organizations disable-aws-service-access --service-principal eks.amazonaws.com

Aktivieren eines delegierten Administrators

Ein delegierter Administrator ist ein Mitgliedskonto, dem die Berechtigung zum Zugriff auf das EKS-Dashboard erteilt wurde.

Verwenden der Konsole AWS

  1. Loggen Sie sich in das Verwaltungskonto Ihrer AWS Organisation ein.

  2. Navigieren Sie zur EKS-Konsole in der Region us-east-1.

  3. Wählen Sie in der linken Seitenleiste Dashboard-Einstellungen aus.

  4. Klicken Sie auf Delegierten Administrator registrieren.

  5. Geben Sie die Konto-ID des AWS Kontos ein, das Sie als delegierten Administrator auswählen möchten.

  6. Bestätigen Sie die Registrierung.

Verwenden der AWS CLI

  1. Melden Sie sich beim Verwaltungskonto Ihrer AWS Organisation an.

  2. Führen Sie den folgenden Befehl aus und 123456789012 ersetzen Sie ihn durch Ihre Konto-ID:

    aws organizations register-delegated-administrator --account-id 123456789012 --service-principal eks.amazonaws.com

Deaktivieren Sie ein delegiertes Administratorkonto

Durch die Deaktivierung eines delegierten Administrators wird dem Konto die Zugriffsberechtigung für das EKS-Dashboard entzogen.

Verwenden der Konsole AWS

  1. Loggen Sie sich in das Verwaltungskonto Ihrer AWS Organisation ein.

  2. Navigieren Sie zur EKS-Konsole in der Region us-east-1.

  3. Wählen Sie in der linken Seitenleiste Dashboard-Einstellungen aus.

  4. Suchen Sie den delegierten Administrator in der Liste.

  5. Klicken Sie neben dem Konto, das Sie als delegierter Administrator entfernen möchten, auf Abmelden.

Verwenden der AWS CLI

  1. Melden Sie sich beim Verwaltungskonto Ihrer AWS Organisation an.

  2. Führen Sie den folgenden Befehl aus und 123456789012 ersetzen Sie ihn durch die Konto-ID des delegierten Administrators:

    aws organizations deregister-delegated-administrator --account-id 123456789012 --service-principal eks.amazonaws.com

Minimale IAM-Richtlinien erforderlich

In diesem Abschnitt werden die IAM-Mindestrichtlinien beschrieben, die erforderlich sind, um vertrauenswürdigen Zugriff zu ermöglichen und einen Administrator für die EKS-Dashboard-Integration mit AWS Organizations zu delegieren.

Richtlinie zur Aktivierung des vertrauenswürdigen Zugriffs

Um den vertrauenswürdigen Zugriff zwischen EKS Dashboard und AWS Organizations zu aktivieren, benötigen Sie die folgenden Berechtigungen:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DescribeOrganization", "organizations:ListAWSServiceAccessForOrganization" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws: iam::*:role/aws-service-role/dashboard.eks.amazonaws.com/AWSServiceRoleForAmazonEKSDashboard" } ] }

Richtlinie für die Delegierung eines Administrators

Um einen delegierten Administrator für das EKS-Dashboard zu registrieren oder abzumelden, benötigen Sie die folgenden Berechtigungen:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:RegisterDelegatedAdministrator", "organizations:DeregisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators" ], "Resource": "*" } ] }

Richtlinie zum Anzeigen des EKS-Dashboards

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonEKSDashboardReadOnly", "Effect": "Allow", "Action": [ "eks:ListDashboardData", "eks:ListDashboardResources", "eks:DescribeClusterVersions" ], "Resource": "*" }, { "Sid": "AmazonOrganizationsReadOnly", "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListRoots", "organizations:ListAccountsForParent", "organizations:ListOrganizationalUnitsForParent" ], "Resource": "*" }, { "Sid": "AmazonOrganizationsDelegatedAdmin", "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "organizations:ServicePrincipal": "eks.amazonaws.com" } } } ] }
Anmerkung

Diese Richtlinien müssen dem IAM-Prinzipal (Benutzer oder Rolle) im Verwaltungskonto Ihrer AWS Organisation zugeordnet sein. Mitgliedskonten können keinen vertrauenswürdigen Zugriff ermöglichen oder Administratoren delegieren.