協助改善此頁面
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
若要提供此使用者指南,請選擇位於每個頁面右窗格中的在 GitHub 上編輯此頁面連結。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定 EKS 儀表板與 AWS Organizations 的整合
本節提供step-by-step說明。 AWS 您將了解如何啟用和停用服務之間的受信任存取,以及如何註冊和取消註冊委派管理員帳戶。您可以使用 AWS 主控台或 CLI AWS 來執行每個組態任務。
啟用受信任存取
受信任存取會授權 EKS 儀表板安全地存取組織中所有帳戶的叢集資訊。
使用 AWS 主控台
-
登入您 AWS Organization 的管理帳戶。
-
導覽至 us-east-1 區域中的 EKS 主控台。
-
在左側邊欄中,選取儀表板設定。
-
按一下啟用受信任存取。
注意
當您透過 EKS 主控台啟用受信任存取時,系統會自動建立AWSServiceRoleForAmazonEKSDashboard服務連結角色。如果您使用 CLI 或 AWS Organizations AWS 主控台啟用受信任存取,則不會發生此自動建立。
使用 AWS CLI
-
登入您 AWS Organization 的管理帳戶。
-
執行下列命令:
aws iam create-service-linked-role --aws-service-name dashboard.eks.amazonaws.com aws organizations enable-aws-service-access --service-principal eks.amazonaws.com
停用受信任存取
停用受信任存取會撤銷 EKS 儀表板在組織帳戶中存取叢集資訊的許可。
使用 AWS 主控台
-
登入您 AWS Organization 的管理帳戶。
-
導覽至 us-east-1 區域中的 EKS 主控台。
-
在左側邊欄中,選取儀表板設定。
-
按一下停用受信任存取。
使用 AWS CLI
-
登入您 AWS Organization 的管理帳戶。
-
執行以下命令:
aws organizations disable-aws-service-access --service-principal eks.amazonaws.com
啟用委派管理員帳戶
委派管理員是有權存取 EKS 儀表板的成員帳戶。
使用 AWS 主控台
-
登入您 AWS Organization 的管理帳戶。
-
導覽至 us-east-1 區域中的 EKS 主控台。
-
在左側邊欄中,選取儀表板設定。
-
按一下註冊委派管理員。
-
輸入您要選擇做為委派管理員之 AWS 帳戶的帳戶 ID。
-
確認註冊。
使用 AWS CLI
-
登入您 AWS Organization 的管理帳戶。
-
執行下列命令,將 取代
123456789012為您的帳戶 ID:aws organizations register-delegated-administrator --account-id 123456789012 --service-principal eks.amazonaws.com
停用委派管理員帳戶
停用委派管理員會移除帳戶存取 EKS 儀表板的許可。
使用 AWS 主控台
-
登入您 AWS Organization 的管理帳戶。
-
導覽至 us-east-1 區域中的 EKS 主控台。
-
在左側邊欄中,選取儀表板設定。
-
在清單中尋找委派管理員。
-
按一下您要以委派管理員身分移除的帳戶旁邊的取消註冊。
使用 AWS CLI
-
登入您 AWS Organization 的管理帳戶。
-
執行下列命令,
123456789012將 取代為委派管理員的帳戶 ID:aws organizations deregister-delegated-administrator --account-id 123456789012 --service-principal eks.amazonaws.com
所需的最低 IAM 政策
本節概述啟用受信任存取所需的最低 IAM 政策,並委派管理員與 AWS Organizations 進行 EKS 儀表板整合。
啟用受信任存取的政策
若要在 EKS 儀表板和 AWS Organizations 之間啟用受信任存取,您需要下列許可:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DescribeOrganization", "organizations:ListAWSServiceAccessForOrganization" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/dashboard.eks.amazonaws.com/AWSServiceRoleForAmazonEKSDashboard" } ] }
委派管理員的政策
若要註冊或取消註冊 EKS 儀表板的委派管理員,您需要下列許可:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:RegisterDelegatedAdministrator", "organizations:DeregisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators" ], "Resource": "*" } ] }
檢視 EKS 儀表板的政策
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonEKSDashboardReadOnly", "Effect": "Allow", "Action": [ "eks:ListDashboardData", "eks:ListDashboardResources", "eks:DescribeClusterVersions" ], "Resource": "*" }, { "Sid": "AmazonOrganizationsReadOnly", "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListRoots", "organizations:ListAccountsForParent", "organizations:ListOrganizationalUnitsForParent" ], "Resource": "*" }, { "Sid": "AmazonOrganizationsDelegatedAdmin", "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "organizations:ServicePrincipal": "eks.amazonaws.com" } } } ] }
注意
這些政策必須連接到 AWS Organization 管理帳戶中的 IAM 主體 (使用者或角色)。成員帳戶無法啟用受信任存取或委派管理員。
