Ajudar a melhorar esta página
Para contribuir com este guia de usuário, escolha o link Editar esta página no GitHub, disponível no painel direito de cada página.
Configurar a integração do painel do EKS com o AWS Organizations
Esta seção fornece instruções passo a passo para configurar a integração do painel do EKS com o AWS Organizations. Você aprenderá como habilitar e desabilitar o acesso confiável entre serviços, bem como registrar e cancelar o registro de contas de administrador delegado. Cada tarefa de configuração pode ser executada usando o Console da AWS ou a AWS CLI.
Habilitar acesso confiável
O acesso confiável autoriza que o painel do EKS acesse com segurança as informações de clusters em todas as contas da sua organização.
Usar o console de AWS
-
Faça login na conta gerencial da sua organização da AWS.
-
Navegue até o console do EKS na região us-east-1.
-
Na barra lateral esquerda, selecione Configurações do painel.
-
Clique em Habilitar acesso confiável.
nota
Quando você habilita o acesso confiável pelo console do EKS, o sistema cria automaticamente o perfil AWSServiceRoleForAmazonEKSDashboard vinculado ao serviço. Essa criação automática não ocorrerá se você habilitar o acesso confiável usando a AWS CLI ou o console do AWS Organizations.
Usar a CLI do AWS
-
Faça login na conta gerencial da sua organização da AWS.
-
Execute os seguintes comandos :
aws iam create-service-linked-role --aws-service-name dashboard.eks.amazonaws.com aws organizations enable-aws-service-access --service-principal eks.amazonaws.com
Desabilitar acesso confiável
Desabilitar o acesso confiável revoga a permissão do painel do EKS para acessar informações do cluster nas contas da sua organização.
Usar o console de AWS
-
Faça login na conta gerencial da sua organização da AWS.
-
Navegue até o console do EKS na região us-east-1.
-
Na barra lateral esquerda, selecione Configurações do painel.
-
Clique em Desabilitar acesso confiável.
Usar a CLI do AWS
-
Faça login na conta gerencial da sua organização da AWS.
-
Execute o seguinte comando:
aws organizations disable-aws-service-access --service-principal eks.amazonaws.com
Habilitar uma conta de administrador delegado
Um administrador delegado é uma conta de membro que tem permissão para acessar o painel do EKS.
Usar o console de AWS
-
Faça login na conta gerencial da sua organização da AWS.
-
Navegue até o console do EKS na região us-east-1.
-
Na barra lateral esquerda, selecione Configurações do painel.
-
Clique em Registrar administrador delegado.
-
Insira o ID da conta da conta da AWS que deseja escolher como administrador delegado.
-
Confirme o registro.
Usar a CLI do AWS
-
Faça login na conta gerencial da sua organização da AWS.
-
Execute o comando abaixo, substituindo
123456789012pelo ID da sua conta:aws organizations register-delegated-administrator --account-id 123456789012 --service-principal eks.amazonaws.com
Desabilitar uma conta de administrador delegado
Desabilitar um administrador delegado remove a permissão da conta para acessar o painel do EKS.
Usar o console de AWS
-
Faça login na conta gerencial da sua organização da AWS.
-
Navegue até o console do EKS na região us-east-1.
-
Na barra lateral esquerda, selecione Configurações do painel.
-
Localize o administrador delegado na lista.
-
Clique em Cancelar registro ao lado da conta que deseja remover como administrador delegado.
Usar a CLI do AWS
-
Faça login na conta gerencial da sua organização da AWS.
-
Execute o comando a seguir, substituindo
123456789012pelo ID da conta do administrador delegado:aws organizations deregister-delegated-administrator --account-id 123456789012 --service-principal eks.amazonaws.com
Políticas mínimas do IAM necessárias
Esta seção descreve as políticas mínimas do IAM necessárias para habilitar o acesso confiável e delegar um administrador para a integração do painel do EKS com o AWS Organizations.
Política para habilitar o acesso confiável
Para habilitar o acesso confiável entre o painel do EKS e o AWS Organizations, você precisa das seguintes permissões:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DescribeOrganization", "organizations:ListAWSServiceAccessForOrganization" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/dashboard.eks.amazonaws.com/AWSServiceRoleForAmazonEKSDashboard" } ] }
Política para delegar um administrador
Para registrar ou cancelar o registro de um administrador delegado para o painel do EKS, você precisa das seguintes permissões:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:RegisterDelegatedAdministrator", "organizations:DeregisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators" ], "Resource": "*" } ] }
Política para visualizar o painel do EKS
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonEKSDashboardReadOnly", "Effect": "Allow", "Action": [ "eks:ListDashboardData", "eks:ListDashboardResources", "eks:DescribeClusterVersions" ], "Resource": "*" }, { "Sid": "AmazonOrganizationsReadOnly", "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListRoots", "organizations:ListAccountsForParent", "organizations:ListOrganizationalUnitsForParent" ], "Resource": "*" }, { "Sid": "AmazonOrganizationsDelegatedAdmin", "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "organizations:ServicePrincipal": "eks.amazonaws.com" } } } ] }
nota
Essas políticas devem ser anexadas à entidade principal do IAM (usuário ou perfil) na conta gerencial da sua organização da AWS. As contas de membro não podem habilitar o acesso confiável nem delegar administradores.
