AWS Organizations와의 EKS 대시보드 통합 구성 - Amazon EKS
신뢰할 수 있는 액세스 활성화신뢰할 수 있는 액세스 비활성화위임된 관리자 계정 활성화위임 관리자 계정 비활성화필요한 최소 IAM 정책

이 페이지 개선에 도움 주기

이 사용자 가이드에 기여하려면 모든 페이지의 오른쪽 창에 있는 GitHub에서 이 페이지 편집 링크를 선택합니다.

AWS Organizations와의 EKS 대시보드 통합 구성

이 섹션에서는 EKS 대시보드와 AWS Organizations의 통합을 구성하기 위한 단계별 지침을 제공합니다. 서비스 간에 신뢰할 수 있는 액세스를 활성화하고 비활성화하는 방법과 위임 관리자 계정을 등록하고 등록 취소하는 방법을 알아봅니다. 각 구성 태스크는 AWS 콘솔 또는 AWS CLI를 사용하여 수행할 수 있습니다.

신뢰할 수 있는 액세스 활성화

신뢰할 수 있는 액세스는 EKS 대시보드가 조직의 모든 계정에서 클러스터 정보에 안전하게 액세스할 수 있는 권한을 부여합니다.

AWS 콘솔 사용

  1. AWS Organization의 관리 계정으로 로그인합니다.

  2. us-east-1 리전의 EKS 콘솔로 이동합니다.

  3. 왼쪽 사이드바에서 대시보드 설정을 선택합니다.

  4. 신뢰할 수 있는 액세스 활성화를 클릭합니다.

참고

EKS 콘솔을 통해 신뢰할 수 있는 액세스를 활성화하면 시스템이 AWSServiceRoleForAmazonEKSDashboard 서비스 연결 역할을 자동으로 생성합니다. AWS CLI 또는 AWS Organizations 콘솔을 사용하여 신뢰할 수 있는 액세스를 활성화하면 이 자동 생성이 수행되지 않습니다.

AWS CLI 사용

  1. AWS Organization의 관리 계정으로 로그인합니다.

  2. 다음 명령을 실행합니다.

    aws iam create-service-linked-role --aws-service-name dashboard.eks.amazonaws.com
aws organizations enable-aws-service-access --service-principal eks.amazonaws.com

신뢰할 수 있는 액세스 비활성화

신뢰할 수 있는 액세스를 비활성화하면 조직의 계정 전체에서 클러스터 정보에 액세스할 수 있는 EKS 대시보드의 권한이 취소됩니다.

AWS 콘솔 사용

  1. AWS Organization의 관리 계정으로 로그인합니다.

  2. us-east-1 리전의 EKS 콘솔로 이동합니다.

  3. 왼쪽 사이드바에서 대시보드 설정을 선택합니다.

  4. 신뢰할 수 있는 액세스 비활성화를 클릭합니다.

AWS CLI 사용

  1. AWS Organization의 관리 계정으로 로그인합니다.

  2. 다음 명령 실행:

    aws organizations disable-aws-service-access --service-principal eks.amazonaws.com

위임된 관리자 계정 활성화

위임 관리자는 EKS 대시보드에 액세스할 수 있는 권한이 부여된 멤버 계정입니다.

AWS 콘솔 사용

  1. AWS Organization의 관리 계정으로 로그인합니다.

  2. us-east-1 리전의 EKS 콘솔로 이동합니다.

  3. 왼쪽 사이드바에서 대시보드 설정을 선택합니다.

  4. 위임 관리자 등록을 클릭합니다.

  5. 위임 관리자로 선택하려는 AWS 계정의 계정 ID를 입력합니다.

  6. 등록을 확인합니다.

AWS CLI 사용

  1. AWS Organization의 관리 계정으로 로그인합니다.

  2. 123456789012를 계정 ID로 바꿔서 다음 명령을 실행합니다.

    aws organizations register-delegated-administrator --account-id 123456789012 --service-principal eks.amazonaws.com

위임 관리자 계정 비활성화

위임 관리자를 비활성화하면 EKS 대시보드에 액세스할 수 있는 계정의 권한이 제거됩니다.

AWS 콘솔 사용

  1. AWS Organization의 관리 계정으로 로그인합니다.

  2. us-east-1 리전의 EKS 콘솔로 이동합니다.

  3. 왼쪽 사이드바에서 대시보드 설정을 선택합니다.

  4. 목록에서 위임 관리자를 찾습니다.

  5. 위임 관리자로 제거하려는 계정 옆의 등록 취소를 클릭합니다.

AWS CLI 사용

  1. AWS Organization의 관리 계정으로 로그인합니다.

  2. 다음 명령을 실행하여 123456789012를 위임 관리자의 계정 ID로 바꿉니다.

    aws organizations deregister-delegated-administrator --account-id 123456789012 --service-principal eks.amazonaws.com

필요한 최소 IAM 정책

이 섹션에서는 신뢰할 수 있는 액세스를 활성화하고 AWS Organizations와의 EKS 대시보드 통합을 위한 관리자를 위임하는 데 필요한 최소 IAM 정책을 간략하게 설명합니다.

신뢰할 수 있는 액세스를 활성화하기 위한 정책

EKS 대시보드와 AWS Organizations 간에 신뢰할 수 있는 액세스를 활성화하려면 다음 권한이 필요합니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:DescribeOrganization",
                "organizations:ListAWSServiceAccessForOrganization"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/dashboard.eks.amazonaws.com/AWSServiceRoleForAmazonEKSDashboard"
        }
    ]
}

관리자 위임 정책

EKS 대시보드에 위임 관리자를 등록하거나 등록 취소하려면 다음 권한이 필요합니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:RegisterDelegatedAdministrator",
                "organizations:DeregisterDelegatedAdministrator",
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": "*"
        }
    ]
}

EKS 대시보드를 보는 정책

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AmazonEKSDashboardReadOnly",
            "Effect": "Allow",
            "Action": [
                "eks:ListDashboardData",
                "eks:ListDashboardResources",
                "eks:DescribeClusterVersions"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AmazonOrganizationsReadOnly",
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:ListRoots",
                "organizations:ListAccountsForParent",
                "organizations:ListOrganizationalUnitsForParent"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AmazonOrganizationsDelegatedAdmin",
            "Effect": "Allow",
            "Action": [
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "organizations:ServicePrincipal": "eks.amazonaws.com"
                }
            }
        }
    ]
}
참고

이러한 정책은 AWS Organization의 관리 계정의 IAM 위탁자(사용자 또는 역할)에 연결되어야 합니다. 멤버 계정은 신뢰할 수 있는 액세스를 활성화하거나 관리자를 위임할 수 없습니다.