帮助改进此页面
要帮助改进本用户指南,请选择位于每个页面右侧窗格中的在 GitHub 上编辑此页面链接。
配置 EKS 控制面板与 AWS Organizations 的集成
本节将逐步说明如何配置 EKS 控制面板与 AWS Organizations 的集成。您将了解如何启用和禁用服务之间的可信访问,以及如何注册和取消注册委派管理员账户。每项配置任务均可使用 AWS 控制台或 AWS CLI 来执行。
启用信任访问权限
可信访问会授权 EKS 控制面板安全地访问组织中所有账户的集群信息。
使用 AWS 控制台
-
登录 AWS Organization 的管理账户。
-
导航到 us-east-1 区域中的 EKS 控制台。
-
在左侧边栏中,选择“控制面板设置”。
-
单击启用可信访问。
注意
您通过 EKS 控制台启用可信访问时,系统会自动创建 AWSServiceRoleForAmazonEKSDashboard 服务相关角色。如果您使用 AWS CLI 或 AWS Organizations 控制台启用可信访问,系统则不会自动创建。
使用 AWS CLI
-
登录 AWS Organization 的管理账户。
-
运行以下 命令:
aws iam create-service-linked-role --aws-service-name dashboard.eks.amazonaws.com aws organizations enable-aws-service-access --service-principal eks.amazonaws.com
禁用信任访问权限
禁用可信访问会撤销 EKS 控制面板访问您组织账户中集群信息的权限。
使用 AWS 控制台
-
登录 AWS Organization 的管理账户。
-
导航到 us-east-1 区域中的 EKS 控制台。
-
在左侧边栏中,选择“控制面板设置”。
-
单击禁用可信访问。
使用 AWS CLI
-
登录 AWS Organization 的管理账户。
-
运行以下命令:
aws organizations disable-aws-service-access --service-principal eks.amazonaws.com
启用委派管理员账户
委派管理员是获得 EKS 控制面板访问权限的成员账户。
使用 AWS 控制台
-
登录 AWS Organization 的管理账户。
-
导航到 us-east-1 区域中的 EKS 控制台。
-
在左侧边栏中,选择“控制面板设置”。
-
单击注册委派管理员。
-
输入您要选择为委派管理员的 AWS 账户的 ID。
-
确认注册。
使用 AWS CLI
-
登录 AWS Organization 的管理账户。
-
运行以下命令,将
123456789012替换为您的账户 ID:aws organizations register-delegated-administrator --account-id 123456789012 --service-principal eks.amazonaws.com
禁用委派管理员账户
禁用委派管理员会移除该账户访问 EKS 控制面板的权限。
使用 AWS 控制台
-
登录 AWS Organization 的管理账户。
-
导航到 us-east-1 区域中的 EKS 控制台。
-
在左侧边栏中,选择“控制面板设置”。
-
在列表中找到委派管理员。
-
在您要移除的作为委派管理员的账户旁边,单击取消注册。
使用 AWS CLI
-
登录 AWS Organization 的管理账户。
-
运行以下命令,将
123456789012替换为委派管理员的账户 ID:aws organizations deregister-delegated-administrator --account-id 123456789012 --service-principal eks.amazonaws.com
所需的最低 IAM 策略
本节概述了针对 EKS 控制面板与 AWS Organizations 的集成启用可信访问和委派管理员所需的最低 IAM 策略。
启用可信访问的策略
要在 EKS 控制面板和 AWS Organizations 之间启用可信访问,您需要以下权限:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DescribeOrganization", "organizations:ListAWSServiceAccessForOrganization" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/dashboard.eks.amazonaws.com/AWSServiceRoleForAmazonEKSDashboard" } ] }
委派管理员的策略
要注册或取消注册 EKS 控制面板的委派管理员,您需要以下权限:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:RegisterDelegatedAdministrator", "organizations:DeregisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators" ], "Resource": "*" } ] }
查看 EKS 控制面板的策略
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonEKSDashboardReadOnly", "Effect": "Allow", "Action": [ "eks:ListDashboardData", "eks:ListDashboardResources", "eks:DescribeClusterVersions" ], "Resource": "*" }, { "Sid": "AmazonOrganizationsReadOnly", "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListRoots", "organizations:ListAccountsForParent", "organizations:ListOrganizationalUnitsForParent" ], "Resource": "*" }, { "Sid": "AmazonOrganizationsDelegatedAdmin", "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "organizations:ServicePrincipal": "eks.amazonaws.com" } } } ] }
注意
这些策略必须附加到 AWS Organizations 管理账户中的 IAM 主体(用户或角色)。成员账户无法启用可信访问或委派管理员。
