**Ajudar a melhorar esta página** 

Para contribuir com este guia de usuário, escolha o link **Editar esta página no GitHub**, disponível no painel direito de cada página.

# Configurar a integração do painel do EKS com o AWS Organizations
<a name="cluster-dashboard-orgs"></a>

Esta seção fornece instruções passo a passo para configurar a integração do painel do EKS com o AWS Organizations. Você aprenderá como habilitar e desabilitar o acesso confiável entre serviços, bem como registrar e cancelar o registro de contas de administrador delegado. Cada tarefa de configuração pode ser executada usando o Console da AWS ou a AWS CLI.

## Habilitar acesso confiável
<a name="_enable_trusted_access"></a>

O acesso confiável autoriza que o painel do EKS acesse com segurança as informações de clusters em todas as contas da sua organização.

### Usar o console de AWS
<a name="using_the_shared_aws_console"></a>

1. Faça login na conta gerencial da sua organização da AWS.

1. Navegue até o console do EKS na região us-east-1.

1. Na barra lateral esquerda, selecione Configurações do painel.

1. Clique em **Habilitar acesso confiável**.

**nota**  
Quando você habilita o acesso confiável pelo console do EKS, o sistema cria automaticamente o perfil `AWSServiceRoleForAmazonEKSDashboard` vinculado ao serviço. Essa criação automática não ocorrerá se você habilitar o acesso confiável usando a AWS CLI ou o console do AWS Organizations.

### Usar a CLI do AWS
<a name="dashboard-enable-cli"></a>

1. Faça login na conta gerencial da sua organização da AWS.

1. Execute os seguintes comandos:

   ```
   aws iam create-service-linked-role --aws-service-name dashboard.eks.amazonaws.com
   aws organizations enable-aws-service-access --service-principal eks.amazonaws.com
   ```

## Desabilitar o acesso confiável
<a name="_disable_trusted_access"></a>

Desabilitar o acesso confiável revoga a permissão do painel do EKS para acessar informações do cluster nas contas da sua organização.

### Usar o console de AWS
<a name="using_the_shared_aws_console"></a>

1. Faça login na conta gerencial da sua organização da AWS.

1. Navegue até o console do EKS na região us-east-1.

1. Na barra lateral esquerda, selecione Configurações do painel.

1. Clique em **Desabilitar acesso confiável**.

### Usar a CLI do AWS
<a name="using_the_shared_aws_cli"></a>

1. Faça login na conta gerencial da sua organização da AWS.

1. Execute o seguinte comando:

   ```
   aws organizations disable-aws-service-access --service-principal eks.amazonaws.com
   ```

## Habilitar uma conta de administrador delegado
<a name="_enable_a_delegated_administrator_account"></a>

Um administrador delegado é uma conta de membro que tem permissão para acessar o painel do EKS.

### Usar o console de AWS
<a name="using_the_shared_aws_console"></a>

1. Faça login na conta gerencial da sua organização da AWS.

1. Navegue até o console do EKS na região us-east-1.

1. Na barra lateral esquerda, selecione Configurações do painel.

1. Clique em **Registrar administrador delegado**.

1. Insira o ID da conta da conta da AWS que deseja escolher como administrador delegado.

1. Confirme o registro.

### Usar a CLI do AWS
<a name="using_the_shared_aws_cli"></a>

1. Faça login na conta gerencial da sua organização da AWS.

1. Execute o comando abaixo, substituindo `123456789012` pelo ID da sua conta:

   ```
   aws organizations register-delegated-administrator --account-id 123456789012 --service-principal eks.amazonaws.com
   ```

## Desabilitar uma conta de administrador delegado
<a name="_disable_a_delegated_administrator_account"></a>

Desabilitar um administrador delegado remove a permissão da conta para acessar o painel do EKS.

### Usar o console de AWS
<a name="using_the_shared_aws_console"></a>

1. Faça login na conta gerencial da sua organização da AWS.

1. Navegue até o console do EKS na região us-east-1.

1. Na barra lateral esquerda, selecione Configurações do painel.

1. Localize o administrador delegado na lista.

1. Clique em **Cancelar registro** ao lado da conta que deseja remover como administrador delegado.

### Usar a CLI do AWS
<a name="using_the_shared_aws_cli"></a>

1. Faça login na conta gerencial da sua organização da AWS.

1. Execute o comando a seguir, substituindo `123456789012` pelo ID da conta do administrador delegado:

   ```
   aws organizations deregister-delegated-administrator --account-id 123456789012 --service-principal eks.amazonaws.com
   ```

## Políticas mínimas do IAM necessárias
<a name="dashboard-iam-policy"></a>

Esta seção descreve as políticas mínimas do IAM necessárias para habilitar o acesso confiável e delegar um administrador para a integração do painel do EKS com o AWS Organizations.

### Política para habilitar o acesso confiável
<a name="_policy_for_enabling_trusted_access"></a>

Para habilitar o acesso confiável entre o painel do EKS e o AWS Organizations, você precisa das seguintes permissões:

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:DescribeOrganization",
                "organizations:ListAWSServiceAccessForOrganization"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/dashboard.eks.amazonaws.com/AWSServiceRoleForAmazonEKSDashboard"
        }
    ]
}
```

### Política para delegar um administrador
<a name="_policy_for_delegating_an_administrator"></a>

Para registrar ou cancelar o registro de um administrador delegado para o painel do EKS, você precisa das seguintes permissões:

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:RegisterDelegatedAdministrator",
                "organizations:DeregisterDelegatedAdministrator",
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": "*"
        }
    ]
}
```

### Política para visualizar o painel do EKS
<a name="eks-dashboard-view-policy"></a>

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AmazonEKSDashboardReadOnly",
            "Effect": "Allow",
            "Action": [
                "eks:ListDashboardData",
                "eks:ListDashboardResources",
                "eks:DescribeClusterVersions"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AmazonOrganizationsReadOnly",
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:ListRoots",
                "organizations:ListAccountsForParent",
                "organizations:ListOrganizationalUnitsForParent"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AmazonOrganizationsDelegatedAdmin",
            "Effect": "Allow",
            "Action": [
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "organizations:ServicePrincipal": "eks.amazonaws.com"
                }
            }
        }
    ]
}
```

**nota**  
Essas políticas devem ser anexadas à entidade principal do IAM (usuário ou perfil) na conta gerencial da sua organização da AWS. As contas de membro não podem habilitar o acesso confiável nem delegar administradores.