Konfigurasikan integrasi Dasbor EKS dengan AWS Organizations - Amazon EKS
Aktifkan akses terpercayaNonaktifkan akses terpercayaAaktifkan akun administrator yang didelegasikanNonaktifkan akun administrator yang didelegasikanDiperlukan kebijakan IAM minimum

Bantu tingkatkan halaman ini

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Untuk berkontribusi pada panduan pengguna ini, pilih Edit halaman ini pada GitHub tautan yang terletak di panel kanan setiap halaman.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konfigurasikan integrasi Dasbor EKS dengan AWS Organizations

Bagian ini memberikan step-by-step petunjuk untuk mengonfigurasi integrasi Dasbor EKS dengan AWS Organizations. Anda akan mempelajari cara mengaktifkan dan menonaktifkan akses tepercaya antar layanan, serta cara mendaftar dan membatalkan pendaftaran akun administrator yang didelegasikan. Setiap tugas konfigurasi dapat dilakukan menggunakan AWS konsol atau AWS CLI.

Aktifkan akses terpercaya

Akses tepercaya mengizinkan Dasbor EKS untuk mengakses informasi klaster dengan aman di semua akun di organisasi Anda.

Menggunakan AWS konsol

  1. Masuk ke akun manajemen AWS Organisasi Anda.

  2. Arahkan ke konsol EKS di wilayah us-east-1.

  3. Di bilah sisi kiri, pilih Pengaturan Dasbor.

  4. Klik Aktifkan akses tepercaya.

catatan

Saat Anda mengaktifkan akses tepercaya melalui konsol EKS, sistem secara otomatis membuat peran AWSServiceRoleForAmazonEKSDashboard terkait layanan. Pembuatan otomatis ini tidak terjadi jika Anda mengaktifkan akses tepercaya menggunakan konsol AWS CLI atau AWS Organizations.

Menggunakan AWS CLI

  1. Masuk ke akun manajemen AWS Organisasi Anda.

  2. Jalankan perintah berikut:

    aws iam create-service-linked-role --aws-service-name dashboard.eks.amazonaws.com
aws organizations enable-aws-service-access --service-principal eks.amazonaws.com

Nonaktifkan akses terpercaya

Menonaktifkan akses tepercaya akan mencabut izin Dasbor EKS untuk mengakses informasi klaster di seluruh akun organisasi Anda.

Menggunakan AWS konsol

  1. Masuk ke akun manajemen AWS Organisasi Anda.

  2. Arahkan ke Konsol EKS di wilayah us-east-1.

  3. Di bilah sisi kiri, pilih Pengaturan Dasbor.

  4. Klik Nonaktifkan akses tepercaya.

Menggunakan AWS CLI

  1. Masuk ke akun manajemen AWS Organisasi Anda.

  2. Jalankan perintah berikut:

    aws organizations disable-aws-service-access --service-principal eks.amazonaws.com

Aaktifkan akun administrator yang didelegasikan

Administrator yang didelegasikan adalah akun anggota yang diberikan izin untuk mengakses Dasbor EKS.

Menggunakan AWS konsol

  1. Masuk ke akun manajemen AWS Organisasi Anda.

  2. Arahkan ke konsol EKS di wilayah us-east-1.

  3. Di bilah sisi kiri, pilih Pengaturan Dasbor.

  4. Klik Daftarkan administrator yang didelegasikan.

  5. Masukkan ID Akun AWS Akun yang ingin Anda pilih sebagai administrator yang didelegasikan.

  6. Konfirmasikan pendaftaran.

Menggunakan AWS CLI

  1. Masuk ke akun manajemen AWS Organisasi Anda.

  2. Jalankan perintah berikut, ganti 123456789012 dengan ID akun Anda:

    aws organizations register-delegated-administrator --account-id 123456789012 --service-principal eks.amazonaws.com

Nonaktifkan akun administrator yang didelegasikan

Menonaktifkan administrator yang didelegasikan akan menghapus izin akun untuk mengakses Dasbor EKS.

Menggunakan AWS konsol

  1. Masuk ke akun manajemen AWS Organisasi Anda.

  2. Arahkan ke konsol EKS di wilayah us-east-1.

  3. Di bilah sisi kiri, pilih Pengaturan Dasbor.

  4. Temukan administrator yang didelegasikan dalam daftar.

  5. Klik Deregister di samping akun yang ingin Anda hapus sebagai administrator yang didelegasikan.

Menggunakan AWS CLI

  1. Masuk ke akun manajemen AWS Organisasi Anda.

  2. Jalankan perintah berikut, ganti 123456789012 dengan ID akun administrator yang didelegasikan:

    aws organizations deregister-delegated-administrator --account-id 123456789012 --service-principal eks.amazonaws.com

Diperlukan kebijakan IAM minimum

Bagian ini menguraikan kebijakan IAM minimum yang diperlukan untuk mengaktifkan akses tepercaya dan mendelegasikan administrator untuk integrasi Dasbor EKS dengan Organizations. AWS

Kebijakan untuk mengaktifkan akses tepercaya

Untuk mengaktifkan akses tepercaya antara Dasbor EKS dan AWS Organizations, Anda memerlukan izin berikut:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:DescribeOrganization",
                "organizations:ListAWSServiceAccessForOrganization"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "arn:aws: iam::*:role/aws-service-role/dashboard.eks.amazonaws.com/AWSServiceRoleForAmazonEKSDashboard"
        }
    ]
}

Kebijakan untuk mendelegasikan administrator

Untuk mendaftarkan atau membatalkan pendaftaran administrator yang didelegasikan untuk Dasbor EKS, Anda memerlukan izin berikut:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:RegisterDelegatedAdministrator",
                "organizations:DeregisterDelegatedAdministrator",
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": "*"
        }
    ]
}

Kebijakan untuk melihat Dasbor EKS

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AmazonEKSDashboardReadOnly",
            "Effect": "Allow",
            "Action": [
                "eks:ListDashboardData",
                "eks:ListDashboardResources",
                "eks:DescribeClusterVersions"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AmazonOrganizationsReadOnly",
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:ListRoots",
                "organizations:ListAccountsForParent",
                "organizations:ListOrganizationalUnitsForParent"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AmazonOrganizationsDelegatedAdmin",
            "Effect": "Allow",
            "Action": [
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "organizations:ServicePrincipal": "eks.amazonaws.com"
                }
            }
        }
    ]
}
catatan

Kebijakan ini harus dilampirkan pada prinsipal IAM (pengguna atau peran) dalam akun manajemen AWS Organisasi Anda. Akun anggota tidak dapat mengaktifkan akses tepercaya atau mendelegasikan administrator.