Configuration de l’intégration du tableau de bord EKS à AWS Organizations - Amazon EKS
Activer l'accès approuvéDésactiver l'accès approuvéActiver un compte administrateur déléguéDésactivation d’un compte administrateur déléguéPolitiques IAM minimales nécessaires

Aidez à améliorer cette page

Pour contribuer à ce guide de l’utilisateur, cliquez sur le lien Modifier cette page sur GitHub qui se trouve dans le volet droit de chaque page.

Configuration de l’intégration du tableau de bord EKS à AWS Organizations

Cette section fournit des instructions étape par étape pour configurer l’intégration du tableau de bord EKS à AWS Organizations. Vous apprendrez à activer ou désactiver l’accès approuvé entre services, ainsi qu’à enregistrer ou annuler l’enregistrement de comptes administrateurs délégués. Chaque tâche de configuration peut être effectuée depuis la console AWS ou la CLI AWS.

Activer l'accès approuvé

L’accès approuvé autorise le tableau de bord EKS à accéder de manière sécurisée aux informations des clusters dans tous les comptes de votre organisation.

Utilisation de la console AWS

  1. Connectez‑vous au compte de gestion de votre organisation AWS.

  2. Accédez à la console EKS dans la région us-east-1.

  3. Dans la barre latérale gauche, sélectionnez Paramètres du tableau de bord.

  4. Cliquez sur Activer l’accès approuvé.

Note

Lorsque vous activez l’accès approuvé depuis la console EKS, le système crée automatiquement le rôle lié à un service AWSServiceRoleForAmazonEKSDashboard. Cette création automatique n’a pas lieu si l’accès approuvé est activé via la CLI AWS ou la console AWS Organizations.

Utilisation de l’AWS CLI

  1. Connectez‑vous au compte de gestion de votre organisation AWS.

  2. Exécutez les commandes suivantes :

    aws iam create-service-linked-role --aws-service-name dashboard.eks.amazonaws.com
aws organizations enable-aws-service-access --service-principal eks.amazonaws.com

Désactiver l'accès approuvé

La désactivation de l’accès approuvé révoque l’autorisation du tableau de bord EKS d’accéder aux informations des clusters dans les comptes de votre organisation.

Utilisation de la console AWS

  1. Connectez‑vous au compte de gestion de votre organisation AWS.

  2. Accédez à la console EKS dans la région us-east-1.

  3. Dans la barre latérale gauche, sélectionnez Paramètres du tableau de bord.

  4. Cliquez sur Désactiver l’accès approuvé.

Utilisation de l’AWS CLI

  1. Connectez‑vous au compte de gestion de votre organisation AWS.

  2. Exécutez la commande suivante :

    aws organizations disable-aws-service-access --service-principal eks.amazonaws.com

Activer un compte administrateur délégué

Un administrateur délégué est un compte membre autorisé à accéder au tableau de bord EKS.

Utilisation de la console AWS

  1. Connectez‑vous au compte de gestion de votre organisation AWS.

  2. Accédez à la console EKS dans la région us-east-1.

  3. Dans la barre latérale gauche, sélectionnez Paramètres du tableau de bord.

  4. Cliquez sur Enregistrer un administrateur délégué.

  5. Saisissez l’ID du compte AWS que vous souhaitez sélectionner comme administrateur délégué.

  6. Confirmez l’enregistrement.

Utilisation de l’AWS CLI

  1. Connectez‑vous au compte de gestion de votre organisation AWS.

  2. Exécutez la commande suivante, en remplaçant 123456789012 par votre ID de compte :

    aws organizations register-delegated-administrator --account-id 123456789012 --service-principal eks.amazonaws.com

Désactivation d’un compte administrateur délégué

La désactivation d’un administrateur délégué supprime l’autorisation de ce compte d’accéder au tableau de bord EKS.

Utilisation de la console AWS

  1. Connectez‑vous au compte de gestion de votre organisation AWS.

  2. Accédez à la console EKS dans la région us-east-1.

  3. Dans la barre latérale gauche, sélectionnez Paramètres du tableau de bord.

  4. Localisez l’administrateur délégué dans la liste.

  5. Cliquez sur Désenregistrer à côté du compte que vous souhaitez supprimer en tant qu’administrateur délégué.

Utilisation de l’AWS CLI

  1. Connectez‑vous au compte de gestion de votre organisation AWS.

  2. Exécutez ensuite la commande suivante, en remplaçant 123456789012 par l’ID du compte de l’administrateur délégué :

    aws organizations deregister-delegated-administrator --account-id 123456789012 --service-principal eks.amazonaws.com

Politiques IAM minimales nécessaires

Cette section présente les politiques IAM minimales nécessaires pour activer l’accès approuvé et désigner un administrateur délégué pour l’intégration du tableau de bord EKS à AWS Organizations.

Politique d’activation de l’accès approuvé

Pour activer l’accès approuvé entre le tableau de bord EKS et AWS Organizations, vous devez disposer des autorisations suivantes :

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:DescribeOrganization",
                "organizations:ListAWSServiceAccessForOrganization"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/dashboard.eks.amazonaws.com/AWSServiceRoleForAmazonEKSDashboard"
        }
    ]
}

Politique de délégation d’un administrateur

Pour enregistrer ou désenregistrer un administrateur délégué pour le tableau de bord EKS, vous devez disposer des autorisations suivantes :

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:RegisterDelegatedAdministrator",
                "organizations:DeregisterDelegatedAdministrator",
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": "*"
        }
    ]
}

Politique d’accès au tableau de bord EKS

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AmazonEKSDashboardReadOnly",
            "Effect": "Allow",
            "Action": [
                "eks:ListDashboardData",
                "eks:ListDashboardResources",
                "eks:DescribeClusterVersions"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AmazonOrganizationsReadOnly",
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:ListRoots",
                "organizations:ListAccountsForParent",
                "organizations:ListOrganizationalUnitsForParent"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AmazonOrganizationsDelegatedAdmin",
            "Effect": "Allow",
            "Action": [
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "organizations:ServicePrincipal": "eks.amazonaws.com"
                }
            }
        }
    ]
}
Note

Ces politiques doivent être associées au principal IAM (utilisateur ou rôle) dans le compte de gestion de votre organisation AWS. Les comptes membres ne peuvent pas activer l’accès approuvé ni désigner d’administrateurs délégués.