**이 페이지 개선에 도움 주기** 

이 사용자 가이드에 기여하려면 모든 페이지의 오른쪽 창에 있는 **GitHub에서 이 페이지 편집** 링크를 선택합니다.

# AWS Organizations와의 EKS 대시보드 통합 구성
<a name="cluster-dashboard-orgs"></a>

이 섹션에서는 EKS 대시보드와 AWS Organizations의 통합을 구성하기 위한 단계별 지침을 제공합니다. 서비스 간에 신뢰할 수 있는 액세스를 활성화하고 비활성화하는 방법과 위임 관리자 계정을 등록하고 등록 취소하는 방법을 알아봅니다. 각 구성 태스크는 AWS 콘솔 또는 AWS CLI를 사용하여 수행할 수 있습니다.

## 신뢰할 수 있는 액세스 활성화
<a name="_enable_trusted_access"></a>

신뢰할 수 있는 액세스는 EKS 대시보드가 조직의 모든 계정에서 클러스터 정보에 안전하게 액세스할 수 있는 권한을 부여합니다.

### AWS 콘솔 사용
<a name="using_the_shared_aws_console"></a>

1. AWS Organization의 관리 계정으로 로그인합니다.

1. us-east-1 리전의 EKS 콘솔로 이동합니다.

1. 왼쪽 사이드바에서 대시보드 설정을 선택합니다.

1. **신뢰할 수 있는 액세스 활성화**를 클릭합니다.

**참고**  
EKS 콘솔을 통해 신뢰할 수 있는 액세스를 활성화하면 시스템이 `AWSServiceRoleForAmazonEKSDashboard` 서비스 연결 역할을 자동으로 생성합니다. AWS CLI 또는 AWS Organizations 콘솔을 사용하여 신뢰할 수 있는 액세스를 활성화하면 이 자동 생성이 수행되지 않습니다.

### AWS CLI 사용
<a name="dashboard-enable-cli"></a>

1. AWS Organization의 관리 계정으로 로그인합니다.

1. 다음 명령을 실행합니다.

   ```
   aws iam create-service-linked-role --aws-service-name dashboard.eks.amazonaws.com
   aws organizations enable-aws-service-access --service-principal eks.amazonaws.com
   ```

## 신뢰할 수 있는 액세스 비활성화
<a name="_disable_trusted_access"></a>

신뢰할 수 있는 액세스를 비활성화하면 조직의 계정 전체에서 클러스터 정보에 액세스할 수 있는 EKS 대시보드의 권한이 취소됩니다.

### AWS 콘솔 사용
<a name="using_the_shared_aws_console"></a>

1. AWS Organization의 관리 계정으로 로그인합니다.

1. us-east-1 리전의 EKS 콘솔로 이동합니다.

1. 왼쪽 사이드바에서 대시보드 설정을 선택합니다.

1. **신뢰할 수 있는 액세스 비활성화**를 클릭합니다.

### AWS CLI 사용
<a name="using_the_shared_aws_cli"></a>

1. AWS Organization의 관리 계정으로 로그인합니다.

1. 다음 명령을 실행합니다.

   ```
   aws organizations disable-aws-service-access --service-principal eks.amazonaws.com
   ```

## 위임된 관리자 계정 활성화
<a name="_enable_a_delegated_administrator_account"></a>

위임 관리자는 EKS 대시보드에 액세스할 수 있는 권한이 부여된 멤버 계정입니다.

### AWS 콘솔 사용
<a name="using_the_shared_aws_console"></a>

1. AWS Organization의 관리 계정으로 로그인합니다.

1. us-east-1 리전의 EKS 콘솔로 이동합니다.

1. 왼쪽 사이드바에서 대시보드 설정을 선택합니다.

1. **위임 관리자 등록**을 클릭합니다.

1. 위임 관리자로 선택하려는 AWS 계정의 계정 ID를 입력합니다.

1. 등록을 확인합니다.

### AWS CLI 사용
<a name="using_the_shared_aws_cli"></a>

1. AWS Organization의 관리 계정으로 로그인합니다.

1. `123456789012`를 계정 ID로 바꿔서 다음 명령을 실행합니다.

   ```
   aws organizations register-delegated-administrator --account-id 123456789012 --service-principal eks.amazonaws.com
   ```

## 위임 관리자 계정 비활성화
<a name="_disable_a_delegated_administrator_account"></a>

위임 관리자를 비활성화하면 EKS 대시보드에 액세스할 수 있는 계정의 권한이 제거됩니다.

### AWS 콘솔 사용
<a name="using_the_shared_aws_console"></a>

1. AWS Organization의 관리 계정으로 로그인합니다.

1. us-east-1 리전의 EKS 콘솔로 이동합니다.

1. 왼쪽 사이드바에서 대시보드 설정을 선택합니다.

1. 목록에서 위임 관리자를 찾습니다.

1. 위임 관리자로 제거하려는 계정 옆의 **등록 취소**를 클릭합니다.

### AWS CLI 사용
<a name="using_the_shared_aws_cli"></a>

1. AWS Organization의 관리 계정으로 로그인합니다.

1. 다음 명령을 실행하여 `123456789012`를 위임 관리자의 계정 ID로 바꿉니다.

   ```
   aws organizations deregister-delegated-administrator --account-id 123456789012 --service-principal eks.amazonaws.com
   ```

## 필요한 최소 IAM 정책
<a name="dashboard-iam-policy"></a>

이 섹션에서는 신뢰할 수 있는 액세스를 활성화하고 AWS Organizations와의 EKS 대시보드 통합을 위한 관리자를 위임하는 데 필요한 최소 IAM 정책을 간략하게 설명합니다.

### 신뢰할 수 있는 액세스를 활성화하기 위한 정책
<a name="_policy_for_enabling_trusted_access"></a>

EKS 대시보드와 AWS Organizations 간에 신뢰할 수 있는 액세스를 활성화하려면 다음 권한이 필요합니다.

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:DescribeOrganization",
                "organizations:ListAWSServiceAccessForOrganization"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/dashboard.eks.amazonaws.com/AWSServiceRoleForAmazonEKSDashboard"
        }
    ]
}
```

### 관리자 위임 정책
<a name="_policy_for_delegating_an_administrator"></a>

EKS 대시보드에 위임 관리자를 등록하거나 등록 취소하려면 다음 권한이 필요합니다.

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:RegisterDelegatedAdministrator",
                "organizations:DeregisterDelegatedAdministrator",
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": "*"
        }
    ]
}
```

### EKS 대시보드를 보는 정책
<a name="eks-dashboard-view-policy"></a>

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AmazonEKSDashboardReadOnly",
            "Effect": "Allow",
            "Action": [
                "eks:ListDashboardData",
                "eks:ListDashboardResources",
                "eks:DescribeClusterVersions"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AmazonOrganizationsReadOnly",
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:ListRoots",
                "organizations:ListAccountsForParent",
                "organizations:ListOrganizationalUnitsForParent"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AmazonOrganizationsDelegatedAdmin",
            "Effect": "Allow",
            "Action": [
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "organizations:ServicePrincipal": "eks.amazonaws.com"
                }
            }
        }
    ]
}
```

**참고**  
이러한 정책은 AWS Organization의 관리 계정의 IAM 위탁자(사용자 또는 역할)에 연결되어야 합니다. 멤버 계정은 신뢰할 수 있는 액세스를 활성화하거나 관리자를 위임할 수 없습니다.