Configuración de la integración del panel de EKS con AWS Organizations - Amazon EKS
Habilitar el acceso de confianzaDeshabilitar el acceso de confianzaHabilitar una cuenta de administrador delegadoDesactivación de una cuenta de administrador delegadoPolíticas de IAM mínimas requeridas

Ayude a mejorar esta página

Para contribuir a esta guía del usuario, elija el enlace Edit this page on GitHub que se encuentra en el panel derecho de cada página.

Configuración de la integración del panel de EKS con AWS Organizations

En esta sección se proporcionan instrucciones paso a paso para configurar la integración del panel de EKS con AWS Organizations. Aprenderá a activar y desactivar el acceso de confianza entre los servicios, así como a registrar y anular el registro de las cuentas de administrador delegado. Cada tarea de configuración se puede llevar a cabo mediante la consola de AWS o la AWS CLI.

Habilitar el acceso de confianza

El acceso de confianza autoriza al panel de EKS a acceder de forma segura a la información del clúster en todas las cuentas de su organización.

Mediante la consola de AWS

  1. Inicie sesión en la cuenta de administración de la AWS Organization.

  2. Vaya a la consola de EKS en la región us-east-1.

  3. En la barra lateral izquierda, seleccione Configuración del panel.

  4. Haga clic en Activar el acceso confiable.

nota

Al habilitar el acceso de confianza a través de la consola de EKS, el sistema crea automáticamente el rol vinculado al servicio de AWSServiceRoleForAmazonEKSDashboard. Esta creación automática no se produce si habilita el acceso de confianza mediante la AWS CLI o la consola de AWS Organizations.

Uso de la AWS CLI

  1. Inicie sesión en la cuenta de administración de la AWS Organization.

  2. Ejecute los siguientes comandos :

    aws iam create-service-linked-role --aws-service-name dashboard.eks.amazonaws.com
aws organizations enable-aws-service-access --service-principal eks.amazonaws.com

Deshabilitar el acceso de confianza

Al deshabilitar el acceso de confianza, se revoca el permiso del panel de EKS para acceder a la información del clúster en todas las cuentas de su organización.

Mediante la consola de AWS

  1. Inicie sesión en la cuenta de administración de la AWS Organization.

  2. Vaya a la consola de EKS en la región us-east-1.

  3. En la barra lateral izquierda, seleccione Configuración del panel.

  4. Haga clic en Desactivar el acceso confiable.

Uso de la AWS CLI

  1. Inicie sesión en la cuenta de administración de la AWS Organization.

  2. Ejecuta el siguiente comando:

    aws organizations disable-aws-service-access --service-principal eks.amazonaws.com

Habilitar una cuenta de administrador delegado

Un administrador delegado es una cuenta de miembro a la que se concede permiso para acceder al panel de EKS.

Mediante la consola de AWS

  1. Inicie sesión en la cuenta de administración de la AWS Organization.

  2. Vaya a la consola de EKS en la región us-east-1.

  3. En la barra lateral izquierda, seleccione Configuración del panel.

  4. Haga clic en Registrar administrador delegado.

  5. Ingrese el ID de la cuenta de AWS que quiera elegir como administrador delegado.

  6. Confirme el registro.

Uso de la AWS CLI

  1. Inicie sesión en la cuenta de administración de la AWS Organization.

  2. Ejecute el siguiente comando, pero reemplace 123456789012 por su ID de cuenta:

    aws organizations register-delegated-administrator --account-id 123456789012 --service-principal eks.amazonaws.com

Desactivación de una cuenta de administrador delegado

Al desactivar un administrador delegado, se elimina el permiso de acceso de la cuenta al panel de EKS.

Mediante la consola de AWS

  1. Inicie sesión en la cuenta de administración de la AWS Organization.

  2. Vaya a la consola de EKS en la región us-east-1.

  3. En la barra lateral izquierda, seleccione Configuración del panel.

  4. Localice el administrador delegado en la lista.

  5. Haga clic en Anular registro junto a la cuenta que quiera eliminar como administrador delegado.

Uso de la AWS CLI

  1. Inicie sesión en la cuenta de administración de la AWS Organization.

  2. Ejecute el siguiente comando, pero reemplace 123456789012 por el ID de cuenta del administrador delegado:

    aws organizations deregister-delegated-administrator --account-id 123456789012 --service-principal eks.amazonaws.com

Políticas de IAM mínimas requeridas

En esta sección se describen las políticas de IAM mínimas necesarias para activar el acceso de confianza y delegar un administrador para la integración del panel de EKS con AWS Organizations.

Política para activar el acceso de confianza

Para activar el acceso de confianza entre el panel de EKS y AWS Organizations, necesita los siguientes permisos:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:DescribeOrganization",
                "organizations:ListAWSServiceAccessForOrganization"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/dashboard.eks.amazonaws.com/AWSServiceRoleForAmazonEKSDashboard"
        }
    ]
}

Política para delegar un administrador

Para registrar o anular el registro de un administrador delegado para el panel de EKS, necesita los siguientes permisos:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:RegisterDelegatedAdministrator",
                "organizations:DeregisterDelegatedAdministrator",
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": "*"
        }
    ]
}

Política para ver el panel de EKS

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AmazonEKSDashboardReadOnly",
            "Effect": "Allow",
            "Action": [
                "eks:ListDashboardData",
                "eks:ListDashboardResources",
                "eks:DescribeClusterVersions"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AmazonOrganizationsReadOnly",
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:ListRoots",
                "organizations:ListAccountsForParent",
                "organizations:ListOrganizationalUnitsForParent"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AmazonOrganizationsDelegatedAdmin",
            "Effect": "Allow",
            "Action": [
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "organizations:ServicePrincipal": "eks.amazonaws.com"
                }
            }
        }
    ]
}
nota

Estas políticas deben adjuntarse a la entidad principal de IAM (usuario o rol) en la cuenta de administración de su AWS Organization. Las cuentas de miembro no pueden activar el acceso de confianza ni delegar administradores.