Abilitazione dell'accesso attendibile Disabilitare l'accesso attendibile Abilitazione di un account di amministratore delegato Disattiva un account amministratore delegato Sono richieste politiche IAM minime

Aiutaci a migliorare questa pagina

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per contribuire a questa guida per l'utente, scegli il GitHub link Modifica questa pagina nel riquadro destro di ogni pagina.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurare l'integrazione di EKS Dashboard con AWS Organizations

Questa sezione fornisce step-by-step istruzioni per configurare l'integrazione di EKS Dashboard con AWS Organizations. Imparerai come abilitare e disabilitare l'accesso affidabile tra i servizi, nonché come registrare e annullare la registrazione degli account di amministratore delegato. Ogni attività di configurazione può essere eseguita utilizzando la AWS console o la AWS CLI.

Abilitazione dell'accesso attendibile

L'accesso affidabile autorizza EKS Dashboard ad accedere in modo sicuro alle informazioni del cluster su tutti gli account dell'organizzazione.

Utilizzo della console AWS

Accedi all'account di gestione della tua AWS organizzazione.
Passa alla console EKS nella regione us-east-1.
Nella barra laterale sinistra, seleziona Impostazioni dashboard.
Fai clic su Abilita accesso affidabile.

Nota

Quando abiliti l'accesso affidabile tramite la console EKS, il sistema crea automaticamente il ruolo AWSServiceRoleForAmazonEKSDashboard collegato al servizio. Questa creazione automatica non si verifica se si abilita l'accesso affidabile utilizzando la AWS CLI o la console AWS Organizations.

Utilizzo della AWS CLI

Accedi all'account di gestione della tua AWS organizzazione.

Esegui i comandi seguenti:


aws iam create-service-linked-role --aws-service-name dashboard.eks.amazonaws.com
aws organizations enable-aws-service-access --service-principal eks.amazonaws.com

Disabilitare l'accesso attendibile

La disabilitazione dell'accesso affidabile revoca l'autorizzazione di EKS Dashboard ad accedere alle informazioni del cluster attraverso gli account dell'organizzazione.

Utilizzo della console AWS

Accedi all'account di gestione della tua AWS organizzazione.
Passa alla console EKS nella regione us-east-1.
Nella barra laterale sinistra, seleziona Impostazioni dashboard.
Fai clic su Disabilita l'accesso affidabile.

Utilizzo della AWS CLI

Accedi all'account di gestione della tua AWS organizzazione.

Esegui il comando seguente:


aws organizations disable-aws-service-access --service-principal eks.amazonaws.com

Abilitazione di un account di amministratore delegato

Un amministratore delegato è un account membro a cui è stata concessa l'autorizzazione ad accedere alla dashboard EKS.

Utilizzo della console AWS

Accedi all'account di gestione della tua AWS organizzazione.
Passa alla console EKS nella regione us-east-1.
Nella barra laterale sinistra, seleziona Impostazioni dashboard.
Fai clic su Registra amministratore delegato.
Inserisci l'ID dell' AWS account che desideri scegliere come amministratore delegato.
Conferma la registrazione.

Utilizzo della AWS CLI

Accedi all'account di gestione della tua AWS organizzazione.

Esegui il comando seguente, sostituendolo 123456789012 con l'ID del tuo account:


aws organizations register-delegated-administrator --account-id 123456789012 --service-principal eks.amazonaws.com

Disattiva un account amministratore delegato

La disabilitazione di un amministratore delegato rimuove l'autorizzazione dell'account ad accedere alla dashboard EKS.

Utilizzo della console AWS

Accedi all'account di gestione della tua AWS organizzazione.
Passa alla console EKS nella regione us-east-1.
Nella barra laterale sinistra, seleziona Impostazioni dashboard.
Individua l'amministratore delegato nell'elenco.
Fai clic su Annulla registrazione accanto all'account che desideri rimuovere come amministratore delegato.

Utilizzo della AWS CLI

Accedi all'account di gestione della tua AWS organizzazione.

Esegui il comando seguente, sostituendolo 123456789012 con l'ID dell'account dell'amministratore delegato:


aws organizations deregister-delegated-administrator --account-id 123456789012 --service-principal eks.amazonaws.com

Sono richieste politiche IAM minime

Questa sezione descrive le politiche IAM minime richieste per consentire l'accesso affidabile e delegare un amministratore per l'integrazione di EKS Dashboard con Organizations AWS .

Politica per consentire l'accesso affidabile

Per abilitare l'accesso affidabile tra EKS Dashboard e AWS Organizations, sono necessarie le seguenti autorizzazioni:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:DescribeOrganization",
                "organizations:ListAWSServiceAccessForOrganization"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "arn:aws: iam::*:role/aws-service-role/dashboard.eks.amazonaws.com/AWSServiceRoleForAmazonEKSDashboard"
        }
    ]
}

Politica per la delega di un amministratore

Per registrare o annullare la registrazione di un amministratore delegato per EKS Dashboard, sono necessarie le seguenti autorizzazioni:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:RegisterDelegatedAdministrator",
                "organizations:DeregisterDelegatedAdministrator",
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": "*"
        }
    ]
}

Politica per la visualizzazione di EKS Dashboard


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AmazonEKSDashboardReadOnly",
            "Effect": "Allow",
            "Action": [
                "eks:ListDashboardData",
                "eks:ListDashboardResources",
                "eks:DescribeClusterVersions"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AmazonOrganizationsReadOnly",
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:ListRoots",
                "organizations:ListAccountsForParent",
                "organizations:ListOrganizationalUnitsForParent"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AmazonOrganizationsDelegatedAdmin",
            "Effect": "Allow",
            "Action": [
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "organizations:ServicePrincipal": "eks.amazonaws.com"
                }
            }
        }
    ]
}

Nota

Queste politiche devono essere allegate al principale IAM (utente o ruolo) nell'account di gestione AWS dell'organizzazione. Gli account dei membri non possono consentire l'accesso affidabile o delegare amministratori.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Pannello di controllo Amazon EKS

Uso di altri servizi