Activer l'accès approuvé Désactiver l'accès approuvé Activer un compte administrateur délégué Désactiver un compte d'administrateur délégué Politiques IAM minimales requises

Aidez à améliorer cette page

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien Modifier cette page sur qui se trouve dans le volet droit de chaque page.

Configurer l'intégration du tableau de bord EKS avec les AWS Organizations

Cette section fournit des step-by-step instructions pour configurer l'intégration du tableau de bord EKS avec AWS Organizations. Vous apprendrez comment activer et désactiver l'accès sécurisé entre les services, ainsi que comment enregistrer et désenregistrer des comptes d'administrateur délégué. Chaque tâche de configuration peut être exécutée à l'aide de la AWS console ou de la AWS CLI.

Activer l'accès approuvé

L'accès sécurisé autorise le tableau de bord EKS à accéder en toute sécurité aux informations du cluster sur tous les comptes de votre organisation.

Utilisation de la AWS console

Connectez-vous au compte de gestion de votre AWS organisation.
Accédez à la console EKS dans la région us-east-1.
Dans la barre latérale gauche, sélectionnez Paramètres du tableau de bord.
Cliquez sur Activer l'accès sécurisé.

Note

Lorsque vous activez l'accès sécurisé via la console EKS, le système crée automatiquement le rôle AWSServiceRoleForAmazonEKSDashboard lié au service. Cette création automatique ne se produit pas si vous activez l'accès sécurisé à l'aide de la AWS CLI ou de la console AWS Organizations.

Utilisation de la AWS CLI

Connectez-vous au compte de gestion de votre AWS organisation.

Exécutez les commandes suivantes :


aws iam create-service-linked-role --aws-service-name dashboard.eks.amazonaws.com
aws organizations enable-aws-service-access --service-principal eks.amazonaws.com

Désactiver l'accès approuvé

La désactivation de l'accès sécurisé révoque l'autorisation du tableau de bord EKS d'accéder aux informations du cluster sur les comptes de votre organisation.

Utilisation de la AWS console

Connectez-vous au compte de gestion de votre AWS organisation.
Accédez à la console EKS dans la région us-east-1.
Dans la barre latérale gauche, sélectionnez Paramètres du tableau de bord.
Cliquez sur Désactiver l'accès sécurisé.

Utilisation de la AWS CLI

Connectez-vous au compte de gestion de votre AWS organisation.

Exécutez la commande suivante :


aws organizations disable-aws-service-access --service-principal eks.amazonaws.com

Activer un compte administrateur délégué

Un administrateur délégué est un compte membre autorisé à accéder au tableau de bord EKS.

Utilisation de la AWS console

Connectez-vous au compte de gestion de votre AWS organisation.
Accédez à la console EKS dans la région us-east-1.
Dans la barre latérale gauche, sélectionnez Paramètres du tableau de bord.
Cliquez sur Enregistrer un administrateur délégué.
Entrez l'ID de compte du AWS compte que vous souhaitez choisir comme administrateur délégué.
Confirmez l'enregistrement.

Utilisation de la AWS CLI

Connectez-vous au compte de gestion de votre AWS organisation.

Exécutez la commande suivante en 123456789012 remplaçant par votre identifiant de compte :


aws organizations register-delegated-administrator --account-id 123456789012 --service-principal eks.amazonaws.com

Désactiver un compte d'administrateur délégué

La désactivation d'un administrateur délégué supprime l'autorisation du compte d'accéder au tableau de bord EKS.

Utilisation de la AWS console

Connectez-vous au compte de gestion de votre AWS organisation.
Accédez à la console EKS dans la région us-east-1.
Dans la barre latérale gauche, sélectionnez Paramètres du tableau de bord.
Localisez l'administrateur délégué dans la liste.
Cliquez sur Désenregistrer à côté du compte que vous souhaitez supprimer en tant qu'administrateur délégué.

Utilisation de la AWS CLI

Connectez-vous au compte de gestion de votre AWS organisation.

Exécutez la commande suivante, en 123456789012 remplaçant par l'ID de compte de l'administrateur délégué :


aws organizations deregister-delegated-administrator --account-id 123456789012 --service-principal eks.amazonaws.com

Politiques IAM minimales requises

Cette section décrit les politiques IAM minimales requises pour permettre un accès sécurisé et déléguer un administrateur pour l'intégration du tableau de bord EKS avec les AWS Organizations.

Politique visant à permettre un accès sécurisé

Pour activer un accès sécurisé entre EKS Dashboard et AWS Organizations, vous devez disposer des autorisations suivantes :


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:DescribeOrganization",
                "organizations:ListAWSServiceAccessForOrganization"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/dashboard.eks.amazonaws.com/AWSServiceRoleForAmazonEKSDashboard"
        }
    ]
}

Politique de délégation d'un administrateur

Pour enregistrer ou désenregistrer un administrateur délégué pour le tableau de bord EKS, vous devez disposer des autorisations suivantes :


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:RegisterDelegatedAdministrator",
                "organizations:DeregisterDelegatedAdministrator",
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": "*"
        }
    ]
}

Politique de consultation du tableau de bord EKS


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AmazonEKSDashboardReadOnly",
            "Effect": "Allow",
            "Action": [
                "eks:ListDashboardData",
                "eks:ListDashboardResources",
                "eks:DescribeClusterVersions"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AmazonOrganizationsReadOnly",
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:ListRoots",
                "organizations:ListAccountsForParent",
                "organizations:ListOrganizationalUnitsForParent"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AmazonOrganizationsDelegatedAdmin",
            "Effect": "Allow",
            "Action": [
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "organizations:ServicePrincipal": "eks.amazonaws.com"
                }
            }
        }
    ]
}

Note

Ces politiques doivent être associées au principal IAM (utilisateur ou rôle) dans le compte de gestion de votre AWS organisation. Les comptes membres ne peuvent pas permettre un accès sécurisé ou déléguer des administrateurs.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Tableau de bord Amazon EKS

Utilisation avec d'autres services