Configurare l’integrazione di pannello di controllo EKS con AWS Organizations - Amazon EKS
Abilitazione dell'accesso attendibileDisabilitare l'accesso attendibileAbilitazione di un account di amministratore delegatoDisabilitare un account di amministratore delegatoSono richieste policy IAM minime

Contribuisci a migliorare questa pagina

Per contribuire a questa guida per l’utente, seleziona il link Edit this page on GitHub che si trova nel riquadro destro di ogni pagina.

Configurare l’integrazione di pannello di controllo EKS con AWS Organizations

Questa sezione contiene istruzioni dettagliate per configurare l’integrazione del pannello di controllo EKS con AWS Organizations. Imparerai come abilitare e disabilitare l’accesso attendibile tra i servizi, nonché come registrare e cancellare gli account di amministratore delegato. Ogni attività di configurazione può essere eseguita usando la console AWS o la AWS CLI.

Abilitazione dell'accesso attendibile

L’accesso attendibile autorizza il pannello di controllo EKS ad accedere in modo sicuro alle informazioni sui cluster di tutti gli account della tua organizzazione.

Utilizzo della console di AWS

  1. Accedi all’account di gestione dell’organizzazione AWS.

  2. Accedi alla console EKS nella regione Stati Uniti orientali 1.

  3. Nella barra laterale sinistra, seleziona Impostazioni del pannello di controllo.

  4. Fai clic su Abilitazione dell’accesso attendibile.

Nota

Quando abiliti l’accesso attendibile tramite la console EKS, il sistema crea automaticamente il ruolo collegato al servizio AWSServiceRoleForAmazonEKSDashboard. Questa creazione automatica non avviene se si abilita l’accesso attendibile utilizzando la AWS CLI o la console AWS Organizations.

Utilizzo della CLI AWS

  1. Accedi all’account di gestione dell’organizzazione AWS.

  2. Esegui i comandi seguenti:

    aws iam create-service-linked-role --aws-service-name dashboard.eks.amazonaws.com
aws organizations enable-aws-service-access --service-principal eks.amazonaws.com

Disabilitare l'accesso attendibile

La disabilitazione dell’accesso attendibile revoca l’autorizzazione del pannello di controllo EKS ad accedere alle informazioni sui cluster negli account dell’organizzazione.

Utilizzo della console di AWS

  1. Accedi all’account di gestione dell’organizzazione AWS.

  2. Accedi alla console EKS nella regione Stati Uniti orientali 1.

  3. Nella barra laterale sinistra, seleziona Impostazioni del pannello di controllo.

  4. Fai clic su Disabilita accesso attendibile.

Utilizzo della CLI AWS

  1. Accedi all’account di gestione dell’organizzazione AWS.

  2. Esegui il comando seguente:

    aws organizations disable-aws-service-access --service-principal eks.amazonaws.com

Abilitazione di un account di amministratore delegato

Un amministratore delegato è un account membro a cui è stata concessa l’autorizzazione ad accedere al pannello di controllo EKS.

Utilizzo della console di AWS

  1. Accedi all’account di gestione dell’organizzazione AWS.

  2. Accedi alla console EKS nella regione Stati Uniti orientali 1.

  3. Nella barra laterale sinistra, seleziona Impostazioni del pannello di controllo.

  4. Fai clic su Registrazione degli amministratori delegati.

  5. Inserisci l’ID dell’account AWS che vuoi scegliere come amministratore delegato.

  6. Conferma la registrazione.

Utilizzo della CLI AWS

  1. Accedi all’account di gestione dell’organizzazione AWS.

  2. Esegui il seguente comando, sostituendo 123456789012 con l’ID del tuo account:

    aws organizations register-delegated-administrator --account-id 123456789012 --service-principal eks.amazonaws.com

Disabilitare un account di amministratore delegato

La disabilitazione di un amministratore delegato rimuove l’autorizzazione dell’account ad accedere al pannello di controllo EKS.

Utilizzo della console di AWS

  1. Accedi all’account di gestione dell’organizzazione AWS.

  2. Accedi alla console EKS nella regione Stati Uniti orientali 1.

  3. Nella barra laterale sinistra, seleziona Impostazioni del pannello di controllo.

  4. Trova l’amministratore delegato nell’elenco.

  5. Fai clic su Annulla registrazione vicino all’account che vuoi rimuovere come amministratore delegato.

Utilizzo della CLI AWS

  1. Accedi all’account di gestione dell’organizzazione AWS.

  2. Esegui il seguente comando, sostituendolo 123456789012 con l’ID dell’account dell’amministratore delegato.

    aws organizations deregister-delegated-administrator --account-id 123456789012 --service-principal eks.amazonaws.com

Sono richieste policy IAM minime

Questa sezione descrive le policy IAM minime richieste per consentire l’accesso attendibile e delegare un amministratore per l’integrazione del pannello di controllo EKS con AWS Organizations.

Policy per consentire l’accesso attendibile

Per abilitare l’accesso attendibile tra il pannello di controllo EKS e AWS Organizations, sono necessarie le seguenti autorizzazioni:

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:DescribeOrganization",
                "organizations:ListAWSServiceAccessForOrganization"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/dashboard.eks.amazonaws.com/AWSServiceRoleForAmazonEKSDashboard"
        }
    ]
}

Policy per la delega di un amministratore

Per registrare o annullare la registrazione di un amministratore delegato per il pannello di controllo EKS, servono le seguenti autorizzazioni:

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:RegisterDelegatedAdministrator",
                "organizations:DeregisterDelegatedAdministrator",
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": "*"
        }
    ]
}

Policy per la visualizzazione del pannello di controllo EKS

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AmazonEKSDashboardReadOnly",
            "Effect": "Allow",
            "Action": [
                "eks:ListDashboardData",
                "eks:ListDashboardResources",
                "eks:DescribeClusterVersions"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AmazonOrganizationsReadOnly",
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:ListRoots",
                "organizations:ListAccountsForParent",
                "organizations:ListOrganizationalUnitsForParent"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AmazonOrganizationsDelegatedAdmin",
            "Effect": "Allow",
            "Action": [
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "organizations:ServicePrincipal": "eks.amazonaws.com"
                }
            }
        }
    ]
}
Nota

Queste policy devono essere allegate al principale IAM (utente o ruolo) nell’account di gestione dell’organizzazione AWS. Gli account dei membri non possono consentire l’accesso attendibile o delegare amministratori.