EKS ダッシュボードと AWS Organizations の統合を設定する - アマゾン EKS
信頼されたアクセスを有効にする信頼されたアクセスを無効にする委任管理者アカウントを有効にする委任管理者アカウントを無効にする最低限必要な IAM ポリシー

このページの改善にご協力ください

このユーザーガイドに貢献するには、すべてのページの右側のペインにある「GitHub でこのページを編集する」リンクを選択してください。

EKS ダッシュボードと AWS Organizations の統合を設定する

このセクションでは、EKS ダッシュボードの AWS Organizations との統合を設定するための手順を説明します。サービス間の信頼されたアクセスを有効または無効にする方法と、委任管理者アカウントを登録および登録解除する方法について説明します。各設定タスクは、AWS コンソールまたは AWS CLI のいずれかを使用して実行できます。

信頼されたアクセスを有効にする

信頼されたアクセスは、EKS ダッシュボードが組織内のすべてのアカウントでクラスター情報に安全にアクセスすることを許可します。

AWS コンソールを使用する場合

  1. AWS Organization の管理アカウントにログインします。

  2. us-east-1 リージョンの EKS コンソールに移動します。

  3. 左側のサイドバーで、ダッシュボード設定を選択します。

  4. [トラステッドアクセスを有効化] をクリックします。

注記

EKS コンソールを使用して信頼されたアクセスを有効にすると、AWSServiceRoleForAmazonEKSDashboard サービスにリンクされたロールが自動的に作成されます。AWS CLI または AWS Organizations コンソールを使用して信頼されたアクセスを有効にしても、この自動作成は行われません。

AWS CLI の使用

  1. AWS Organization の管理アカウントにログインします。

  2. 以下の コマンドを実行します。

    aws iam create-service-linked-role --aws-service-name dashboard.eks.amazonaws.com
aws organizations enable-aws-service-access --service-principal eks.amazonaws.com

信頼されたアクセスを無効にする

信頼されたアクセスを無効にすると、組織のアカウント全体でクラスター情報にアクセスするための EKS ダッシュボードのアクセス許可が取り消されます。

AWS コンソールを使用する場合

  1. AWS Organization の管理アカウントにログインします。

  2. us-east-1 リージョンの EKS コンソールに移動します。

  3. 左側のサイドバーで、ダッシュボード設定を選択します。

  4. [トラステッドアクセスを無効化] をクリックします。

AWS CLI の使用

  1. AWS Organization の管理アカウントにログインします。

  2. 次のコマンドを実行してください。

    aws organizations disable-aws-service-access --service-principal eks.amazonaws.com

委任管理者アカウントを有効にする

委任管理者は、EKS ダッシュボードへのアクセス許可が付与されたメンバーアカウントです。

AWS コンソールを使用する場合

  1. AWS Organization の管理アカウントにログインします。

  2. us-east-1 リージョンの EKS コンソールに移動します。

  3. 左側のサイドバーで、ダッシュボード設定を選択します。

  4. [委任管理者を登録] をクリックします。

  5. 委任管理者として選択する AWS アカウントのアカウント ID を入力します。

  6. 登録を確認します。

AWS CLI の使用

  1. AWS Organization の管理アカウントにログインします。

  2. 123456789012 を自分のアカウント ID に置き換えて、以下のコマンドを実行します。

    aws organizations register-delegated-administrator --account-id 123456789012 --service-principal eks.amazonaws.com

委任管理者アカウントを無効にする

委任管理者を無効にすると、EKS ダッシュボードにアクセスするためのアカウントのアクセス許可が削除されます。

AWS コンソールを使用する場合

  1. AWS Organization の管理アカウントにログインします。

  2. us-east-1 リージョンの EKS コンソールに移動します。

  3. 左側のサイドバーで、ダッシュボード設定を選択します。

  4. リストで委任管理者を見つけます。

  5. 委任管理者として削除するアカウントの横にある [登録解除] をクリックします。

AWS CLI の使用

  1. AWS Organization の管理アカウントにログインします。

  2. 委任管理者のアカウント ID を 123456789012 に置き換えて、次のコマンドを実行します。

    aws organizations deregister-delegated-administrator --account-id 123456789012 --service-principal eks.amazonaws.com

最低限必要な IAM ポリシー

このセクションでは、信頼されたアクセスを有効にし、EKS ダッシュボードと AWS Organizations の統合のために管理者を委任するために必要な最小限の IAM ポリシーの概要を説明します。

信頼されたアクセスを有効にするためのポリシー

EKS ダッシュボードと AWS Organizations 間の信頼されたアクセスを有効にするには、以下のアクセス許可が必要です。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:DescribeOrganization",
                "organizations:ListAWSServiceAccessForOrganization"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/dashboard.eks.amazonaws.com/AWSServiceRoleForAmazonEKSDashboard"
        }
    ]
}

管理者を委任するためのポリシー

EKS ダッシュボードの委任管理者を登録または登録解除するには、以下のアクセス許可が必要です。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:RegisterDelegatedAdministrator",
                "organizations:DeregisterDelegatedAdministrator",
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": "*"
        }
    ]
}

EKS ダッシュボードを表示するポリシー

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AmazonEKSDashboardReadOnly",
            "Effect": "Allow",
            "Action": [
                "eks:ListDashboardData",
                "eks:ListDashboardResources",
                "eks:DescribeClusterVersions"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AmazonOrganizationsReadOnly",
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:ListRoots",
                "organizations:ListAccountsForParent",
                "organizations:ListOrganizationalUnitsForParent"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AmazonOrganizationsDelegatedAdmin",
            "Effect": "Allow",
            "Action": [
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "organizations:ServicePrincipal": "eks.amazonaws.com"
                }
            }
        }
    ]
}
注記

これらのポリシーは、AWS Organization の管理アカウントの IAM プリンシパル (ユーザーまたはロール) にアタッチする必要があります。メンバーアカウントは、信頼されたアクセスを有効にしたり、管理者を委任したりすることはできません。