Configurare l'integrazione di EKS Dashboard con AWS Organizations - Amazon EKS
Abilitazione dell'accesso attendibileDisabilitare l'accesso attendibileAbilitazione di un account di amministratore delegatoDisabilitare un account di amministratore delegatoSono richieste policy IAM minime

Contribuisci a migliorare questa pagina

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per contribuire a questa guida per l'utente, scegli il GitHub link Modifica questa pagina nel riquadro destro di ogni pagina.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurare l'integrazione di EKS Dashboard con AWS Organizations

Questa sezione fornisce step-by-step istruzioni per configurare l'integrazione di EKS Dashboard con AWS Organizations. Imparerai come abilitare e disabilitare l’accesso attendibile tra i servizi, nonché come registrare e cancellare gli account di amministratore delegato. Ogni attività di configurazione può essere eseguita utilizzando la AWS console o la AWS CLI.

Abilitazione dell'accesso attendibile

L’accesso attendibile autorizza il pannello di controllo EKS ad accedere in modo sicuro alle informazioni sui cluster di tutti gli account della tua organizzazione.

Utilizzo della console AWS

  1. Accedi all'account di gestione della tua AWS organizzazione.

  2. Accedi alla console EKS nella regione Stati Uniti orientali 1.

  3. Nella barra laterale sinistra, seleziona Impostazioni del pannello di controllo.

  4. Fai clic su Abilitazione dell’accesso attendibile.

Nota

Quando abiliti l’accesso attendibile tramite la console EKS, il sistema crea automaticamente il ruolo collegato al servizio AWSServiceRoleForAmazonEKSDashboard. Questa creazione automatica non si verifica se si abilita l'accesso affidabile utilizzando la AWS CLI o la console AWS Organizations.

Utilizzo della AWS CLI

  1. Accedi all'account di gestione della tua AWS organizzazione.

  2. Esegui i comandi seguenti:

    aws iam create-service-linked-role --aws-service-name dashboard.eks.amazonaws.com
aws organizations enable-aws-service-access --service-principal eks.amazonaws.com

Disabilitare l'accesso attendibile

La disabilitazione dell’accesso attendibile revoca l’autorizzazione del pannello di controllo EKS ad accedere alle informazioni sui cluster negli account dell’organizzazione.

Utilizzo della AWS console

  1. Accedi all'account di gestione della tua AWS organizzazione.

  2. Accedi alla console EKS nella regione Stati Uniti orientali 1.

  3. Nella barra laterale sinistra, seleziona Impostazioni del pannello di controllo.

  4. Fai clic su Disabilita accesso attendibile.

Utilizzo della AWS CLI

  1. Accedi all'account di gestione della tua AWS organizzazione.

  2. Esegui il comando seguente:

    aws organizations disable-aws-service-access --service-principal eks.amazonaws.com

Abilitazione di un account di amministratore delegato

Un amministratore delegato è un account membro a cui è stata concessa l’autorizzazione ad accedere al pannello di controllo EKS.

Utilizzo della AWS console

  1. Accedi all'account di gestione della tua AWS organizzazione.

  2. Accedi alla console EKS nella regione Stati Uniti orientali 1.

  3. Nella barra laterale sinistra, seleziona Impostazioni del pannello di controllo.

  4. Fai clic su Registrazione degli amministratori delegati.

  5. Inserisci l'ID account dell' AWS account che desideri scegliere come amministratore delegato.

  6. Conferma la registrazione.

Utilizzo della AWS CLI

  1. Accedi all'account di gestione della tua AWS organizzazione.

  2. Esegui il seguente comando, sostituendo 123456789012 con l’ID del tuo account:

    aws organizations register-delegated-administrator --account-id 123456789012 --service-principal eks.amazonaws.com

Disabilitare un account di amministratore delegato

La disabilitazione di un amministratore delegato rimuove l’autorizzazione dell’account ad accedere al pannello di controllo EKS.

Utilizzo della AWS console

  1. Accedi all'account di gestione della tua AWS organizzazione.

  2. Accedi alla console EKS nella regione Stati Uniti orientali 1.

  3. Nella barra laterale sinistra, seleziona Impostazioni del pannello di controllo.

  4. Trova l’amministratore delegato nell’elenco.

  5. Fai clic su Annulla registrazione vicino all’account che vuoi rimuovere come amministratore delegato.

Utilizzo della AWS CLI

  1. Accedi all'account di gestione della tua AWS organizzazione.

  2. Esegui il seguente comando, sostituendolo 123456789012 con l’ID dell’account dell’amministratore delegato.

    aws organizations deregister-delegated-administrator --account-id 123456789012 --service-principal eks.amazonaws.com

Sono richieste policy IAM minime

Questa sezione descrive le politiche IAM minime richieste per consentire l'accesso affidabile e delegare un amministratore per l'integrazione di EKS Dashboard con Organizations AWS .

Policy per consentire l’accesso attendibile

Per abilitare l'accesso affidabile tra EKS Dashboard e AWS Organizations, sono necessarie le seguenti autorizzazioni:

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:DescribeOrganization",
                "organizations:ListAWSServiceAccessForOrganization"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/dashboard.eks.amazonaws.com/AWSServiceRoleForAmazonEKSDashboard"
        }
    ]
}

Policy per la delega di un amministratore

Per registrare o annullare la registrazione di un amministratore delegato per il pannello di controllo EKS, servono le seguenti autorizzazioni:

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:RegisterDelegatedAdministrator",
                "organizations:DeregisterDelegatedAdministrator",
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": "*"
        }
    ]
}

Policy per la visualizzazione del pannello di controllo EKS

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AmazonEKSDashboardReadOnly",
            "Effect": "Allow",
            "Action": [
                "eks:ListDashboardData",
                "eks:ListDashboardResources",
                "eks:DescribeClusterVersions"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AmazonOrganizationsReadOnly",
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:ListRoots",
                "organizations:ListAccountsForParent",
                "organizations:ListOrganizationalUnitsForParent"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AmazonOrganizationsDelegatedAdmin",
            "Effect": "Allow",
            "Action": [
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "organizations:ServicePrincipal": "eks.amazonaws.com"
                }
            }
        }
    ]
}
Nota

Queste policy devono essere collegate al principale IAM (utente o ruolo) nell'account di gestione dell' AWS organizzazione. Gli account dei membri non possono consentire l’accesso attendibile o delegare amministratori.