Unterstützung für die Verbesserung dieser Seite beitragen
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Um zu diesem Benutzerhandbuch beizutragen, wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet.
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Konfiguration der EKS-Dashboard-Integration mit AWS Organizations
Dieser Abschnitt enthält step-by-step Anweisungen zur Konfiguration der Integration des EKS-Dashboards mit AWS Organizations. Sie erfahren, wie Sie den vertrauenswürdigen Zugriff zwischen Services aktivieren und deaktivieren sowie delegierte Administratorkonten registrieren und deregistrieren können. Jede Konfigurationsaufgabe kann entweder über die AWS Konsole oder die AWS CLI ausgeführt werden.
Den vertrauenswürdigen Zugriff aktivieren
Durch vertrauenswürdigen Zugriff wird das EKS-Dashboard autorisiert, sicher auf Cluster-Informationen aller Konten in Ihrem Unternehmen zuzugreifen.
Mithilfe der AWS Konsole
-
Melden Sie sich beim Verwaltungskonto Ihrer AWS Organisation an.
-
Navigieren Sie zur EKS-Konsole in der Region us-east-1.
-
Wählen Sie in der linken Seitenleiste „Dashboard-Einstellungen“ aus.
-
Klicken Sie auf Vertrauenswürdigen Zugriff aktivieren.
Anmerkung
Wenn Sie den vertrauenswürdigen Zugriff über die EKS-Konsole aktivieren, erstellt das System automatisch die serviceverknüpfte AWSServiceRoleForAmazonEKSDashboard-Rolle. Diese automatische Erstellung erfolgt nicht, wenn Sie den vertrauenswürdigen Zugriff über die AWS CLI oder die AWS Organisationskonsole aktivieren.
Verwenden der AWS CLI
-
Melden Sie sich beim Verwaltungskonto Ihrer AWS Organisation an.
-
Führen Sie die folgenden Befehle aus:
aws iam create-service-linked-role --aws-service-name dashboard.eks.amazonaws.com aws organizations enable-aws-service-access --service-principal eks.amazonaws.com
So deaktivieren Sie den vertrauenswürdigen Zugriff
Durch die Deaktivierung des vertrauenswürdigen Zugriffs wird dem EKS-Dashboard die Berechtigung zum Zugriff auf Cluster-Informationen über die Konten Ihrer Organisation hinweg entzogen.
Verwenden der AWS Konsole
-
Melden Sie sich beim Verwaltungskonto Ihrer AWS Organisation an.
-
Navigieren Sie zur EKS-Konsole in der Region us-east-1.
-
Wählen Sie in der linken Seitenleiste „Dashboard-Einstellungen“ aus.
-
Klicken Sie auf Vertrauenswürdigen Zugriff deaktivieren.
Verwenden der AWS CLI
-
Melden Sie sich beim Verwaltungskonto Ihrer AWS Organisation an.
-
Führen Sie den folgenden Befehl aus:
aws organizations disable-aws-service-access --service-principal eks.amazonaws.com
Aktivieren eines delegierten Administrators
Ein delegierter Administrator ist ein Benutzerkonto, dem die Berechtigung zum Zugriff auf das EKS-Dashboard gewährt wurde.
Verwenden der AWS Konsole
-
Melden Sie sich beim Verwaltungskonto Ihrer AWS Organisation an.
-
Navigieren Sie zur EKS-Konsole in der Region us-east-1.
-
Wählen Sie in der linken Seitenleiste „Dashboard-Einstellungen“ aus.
-
Klicken Sie auf Delegierten Administrator registrieren.
-
Geben Sie die Konto-ID des AWS Kontos ein, das Sie als delegierten Administrator auswählen möchten.
-
Bestätigen Sie die Registrierung.
Verwenden der AWS CLI
-
Melden Sie sich beim Verwaltungskonto Ihrer AWS Organisation an.
-
Führen Sie den folgenden Befehl aus und ersetzen Sie
123456789012durch Ihre Konto-ID:aws organizations register-delegated-administrator --account-id 123456789012 --service-principal eks.amazonaws.com
Deaktivierung eines delegierten Administratorkontos
Durch die Deaktivierung eines delegierten Administrators wird die Berechtigung des Kontos für den Zugriff auf das EKS-Dashboard entfernt.
Verwenden der AWS Konsole
-
Melden Sie sich beim Verwaltungskonto Ihrer AWS Organisation an.
-
Navigieren Sie zur EKS-Konsole in der Region us-east-1.
-
Wählen Sie in der linken Seitenleiste „Dashboard-Einstellungen“ aus.
-
Suchen Sie den delegierten Administrator in der Liste.
-
Klicken Sie neben dem Konto, das Sie als delegierten Administrator entfernen möchten, auf Abmelden.
Verwenden der AWS CLI
-
Melden Sie sich beim Verwaltungskonto Ihrer AWS Organisation an.
-
Führen Sie den folgenden Befehl aus und ersetzen Sie dabei
123456789012durch die Konto-ID des delegierten Administrators:aws organizations deregister-delegated-administrator --account-id 123456789012 --service-principal eks.amazonaws.com
Erforderliche Mindestanforderungen an IAM-Richtlinien
In diesem Abschnitt werden die IAM-Mindestrichtlinien beschrieben, die erforderlich sind, um vertrauenswürdigen Zugriff zu ermöglichen und einen Administrator für die EKS-Dashboard-Integration mit AWS Organizations zu delegieren.
Richtlinie für die Gewährung vertrauenswürdigen Zugriffs
Um den vertrauenswürdigen Zugriff zwischen EKS Dashboard und AWS Organizations zu aktivieren, benötigen Sie die folgenden Berechtigungen:
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DescribeOrganization", "organizations:ListAWSServiceAccessForOrganization" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/dashboard.eks.amazonaws.com/AWSServiceRoleForAmazonEKSDashboard" } ] }
Richtlinie zur Übertragung von Administratorrechten
Um einen delegierten Administrator für das EKS-Dashboard zu registrieren oder zu deregistrieren, benötigen Sie die folgenden Berechtigungen:
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:RegisterDelegatedAdministrator", "organizations:DeregisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators" ], "Resource": "*" } ] }
Richtlinie zum Anzeigen des EKS-Dashboards
{ "Version":"2012-10-17", "Statement": [ { "Sid": "AmazonEKSDashboardReadOnly", "Effect": "Allow", "Action": [ "eks:ListDashboardData", "eks:ListDashboardResources", "eks:DescribeClusterVersions" ], "Resource": "*" }, { "Sid": "AmazonOrganizationsReadOnly", "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListRoots", "organizations:ListAccountsForParent", "organizations:ListOrganizationalUnitsForParent" ], "Resource": "*" }, { "Sid": "AmazonOrganizationsDelegatedAdmin", "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "organizations:ServicePrincipal": "eks.amazonaws.com" } } } ] }
Anmerkung
Diese Richtlinien müssen dem IAM-Prinzipal (Benutzer oder Rolle) im Verwaltungskonto Ihrer AWS Organisation zugeordnet sein. Mitgliedskonten können keinen vertrauenswürdigen Zugriff aktivieren oder Administratoren delegieren.
