協助改進此頁面
若要為本使用者指南貢獻內容,請點選每個頁面右側面板中的在 GitHub 上編輯此頁面連結。
設定 EKS 儀表板與 AWS Organizations 的整合
本節提供設定 EKS 儀表板與 AWS Organizations 整合的逐步說明。您將了解如何啟用與停用服務之間可信存取,以及如何註冊與取消註冊委派管理員帳戶。每個組態任務都可以使用 AWS 主控台或 AWS CLI 來執行。
啟用信任的存取
可信存取授權 EKS 儀表板安全地存取組織中所有帳戶的叢集資訊。
使用 AWS 主控台
-
登入 AWS Organization 的管理帳戶。
-
導覽至 us-east-1 區域的 EKS 主控台。
-
在左側邊欄中選取儀表板設定。
-
按一下啟用可信存取。
注意
當您透過 EKS 主控台啟用可信存取時,系統會自動建立 AWSServiceRoleForAmazonEKSDashboard 服務連結角色。如果您使用 AWS CLI 或 AWS Organizations 主控台啟用可信存取,則不會發生此自動建立過程。
使用 AWS CLI
-
登入 AWS Organization 的管理帳戶。
-
執行下列命令:
aws iam create-service-linked-role --aws-service-name dashboard.eks.amazonaws.com aws organizations enable-aws-service-access --service-principal eks.amazonaws.com
停用受信任存取
停用可信存取會撤銷 EKS 儀表板存取您組織帳戶中叢集資訊的許可。
使用 AWS 主控台
-
登入 AWS Organization 的管理帳戶。
-
導覽至 us-east-1 區域的 EKS 主控台。
-
在左側邊欄中選取儀表板設定。
-
按一下停用可信存取。
使用 AWS CLI
-
登入 AWS Organization 的管理帳戶。
-
執行以下命令:
aws organizations disable-aws-service-access --service-principal eks.amazonaws.com
啟用委派管理員帳戶
委派管理員是被授予存取 EKS 儀表板許可的會員帳戶。
使用 AWS 主控台
-
登入 AWS Organization 的管理帳戶。
-
導覽至 us-east-1 區域的 EKS 主控台。
-
在左側邊欄中選取儀表板設定。
-
按一下註冊委派的管理員。
-
輸入您要選擇作為委派管理員的 AWS 帳戶的帳戶 ID。
-
確認註冊。
使用 AWS CLI
-
登入 AWS Organization 的管理帳戶。
-
執行以下命令,將
123456789012取代為您的帳戶 ID:aws organizations register-delegated-administrator --account-id 123456789012 --service-principal eks.amazonaws.com
停用委派管理員帳戶
停用委派管理員會移除該帳戶存取 EKS 儀表板的許可。
使用 AWS 主控台
-
登入 AWS Organization 的管理帳戶。
-
導覽至 us-east-1 區域的 EKS 主控台。
-
在左側邊欄中選取儀表板設定。
-
在清單中找到委派管理員。
-
在您要以委派管理員身分移除的帳戶旁邊,按一下取消註冊。
使用 AWS CLI
-
登入 AWS Organization 的管理帳戶。
-
執行以下命令,將
123456789012取代為委派管理員的帳戶 ID:aws organizations deregister-delegated-administrator --account-id 123456789012 --service-principal eks.amazonaws.com
所需的最低 IAM 政策
本節概述了為 EKS 儀表板與 AWS Organizations 整合啟用可信存取和委派管理員所需的最低 IAM 政策。
用於啟用可信存取的政策
要在 EKS 儀表板和 AWS Organizations 之間啟用可信存取,您需要以下許可:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DescribeOrganization", "organizations:ListAWSServiceAccessForOrganization" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/dashboard.eks.amazonaws.com/AWSServiceRoleForAmazonEKSDashboard" } ] }
用於委派管理員的政策
要為 EKS 儀表板註冊或取消註冊委派管理員,您需要以下許可:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:RegisterDelegatedAdministrator", "organizations:DeregisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators" ], "Resource": "*" } ] }
用於檢視 EKS 儀表板的政策
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonEKSDashboardReadOnly", "Effect": "Allow", "Action": [ "eks:ListDashboardData", "eks:ListDashboardResources", "eks:DescribeClusterVersions" ], "Resource": "*" }, { "Sid": "AmazonOrganizationsReadOnly", "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListRoots", "organizations:ListAccountsForParent", "organizations:ListOrganizationalUnitsForParent" ], "Resource": "*" }, { "Sid": "AmazonOrganizationsDelegatedAdmin", "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "organizations:ServicePrincipal": "eks.amazonaws.com" } } } ] }
注意
這些政策必須連接到 AWS Organization 管理帳戶中的 IAM 主體 (使用者或角色)。會員帳戶無法啟用可信存取或委派管理員。
