**協助改進此頁面**
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
若要為本使用者指南貢獻內容,請點選每個頁面右側面板中的**在 GitHub 上編輯此頁面**連結。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定 EKS 儀表板與 AWS Organizations 的整合
本節提供step-by-step說明。 AWS 您將了解如何啟用與停用服務之間可信存取,以及如何註冊與取消註冊委派管理員帳戶。您可以使用 AWS 主控台或 CLI AWS 來執行每個組態任務。
## 啟用受信任存取
可信存取授權 EKS 儀表板安全地存取組織中所有帳戶的叢集資訊。
### 使用 AWS 主控台
1. 登入您 AWS Organization 的管理帳戶。
1. 導覽至 us-east-1 區域的 EKS 主控台。
1. 在左側邊欄中選取儀表板設定。
1. 按一下**啟用可信存取**。
**注意**
當您透過 EKS 主控台啟用可信存取時,系統會自動建立 `AWSServiceRoleForAmazonEKSDashboard` 服務連結角色。如果您使用 CLI 或 AWS Organizations AWS 主控台啟用受信任存取,則不會發生此自動建立。
### 使用 AWS CLI
1. 登入您 AWS Organization 的管理帳戶。
1. 執行下列命令:
```
aws iam create-service-linked-role --aws-service-name dashboard.eks.amazonaws.com
aws organizations enable-aws-service-access --service-principal eks.amazonaws.com
```
## 停用受信任存取
停用可信存取會撤銷 EKS 儀表板存取您組織帳戶中叢集資訊的許可。
### 使用 AWS 主控台
1. 登入您 AWS Organization 的管理帳戶。
1. 導覽至 us-east-1 區域的 EKS 主控台。
1. 在左側邊欄中選取儀表板設定。
1. 按一下**停用可信存取**。
### 使用 AWS CLI
1. 登入您 AWS Organization 的管理帳戶。
1. 執行以下命令:
```
aws organizations disable-aws-service-access --service-principal eks.amazonaws.com
```
## 啟用委派管理員帳戶
委派管理員是被授予存取 EKS 儀表板許可的會員帳戶。
### 使用 AWS 主控台
1. 登入您 AWS Organization 的管理帳戶。
1. 導覽至 us-east-1 區域的 EKS 主控台。
1. 在左側邊欄中選取儀表板設定。
1. 按一下**註冊委派的管理員**。
1. 輸入您要選擇做為委派管理員之 AWS 帳戶的帳戶 ID。
1. 確認註冊。
### 使用 AWS CLI
1. 登入您 AWS Organization 的管理帳戶。
1. 執行以下命令,將 `123456789012` 取代為您的帳戶 ID:
```
aws organizations register-delegated-administrator --account-id 123456789012 --service-principal eks.amazonaws.com
```
## 停用委派管理員帳戶
停用委派管理員會移除該帳戶存取 EKS 儀表板的許可。
### 使用 AWS 主控台
1. 登入您 AWS Organization 的管理帳戶。
1. 導覽至 us-east-1 區域的 EKS 主控台。
1. 在左側邊欄中選取儀表板設定。
1. 在清單中找到委派管理員。
1. 在您要以委派管理員身分移除的帳戶旁邊,按一下**取消註冊**。
### 使用 AWS CLI
1. 登入您 AWS Organization 的管理帳戶。
1. 執行以下命令,將 `123456789012` 取代為委派管理員的帳戶 ID:
```
aws organizations deregister-delegated-administrator --account-id 123456789012 --service-principal eks.amazonaws.com
```
## 所需的最低 IAM 政策
本節概述啟用受信任存取所需的最低 IAM 政策,並委派管理員與 AWS Organizations 進行 EKS 儀表板整合。
### 用於啟用可信存取的政策
若要在 EKS 儀表板和 AWS Organizations 之間啟用受信任存取,您需要下列許可:
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:DescribeOrganization",
"organizations:ListAWSServiceAccessForOrganization"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/dashboard.eks.amazonaws.com/AWSServiceRoleForAmazonEKSDashboard"
}
]
}
```
### 用於委派管理員的政策
要為 EKS 儀表板註冊或取消註冊委派管理員,您需要以下許可:
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:RegisterDelegatedAdministrator",
"organizations:DeregisterDelegatedAdministrator",
"organizations:ListDelegatedAdministrators"
],
"Resource": "*"
}
]
}
```
### 用於檢視 EKS 儀表板的政策
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonEKSDashboardReadOnly",
"Effect": "Allow",
"Action": [
"eks:ListDashboardData",
"eks:ListDashboardResources",
"eks:DescribeClusterVersions"
],
"Resource": "*"
},
{
"Sid": "AmazonOrganizationsReadOnly",
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:ListRoots",
"organizations:ListAccountsForParent",
"organizations:ListOrganizationalUnitsForParent"
],
"Resource": "*"
},
{
"Sid": "AmazonOrganizationsDelegatedAdmin",
"Effect": "Allow",
"Action": [
"organizations:ListDelegatedAdministrators"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": "eks.amazonaws.com"
}
}
}
]
}
```
**注意**
這些政策必須連接到 AWS Organization 管理帳戶中的 IAM 主體 (使用者或角色)。會員帳戶無法啟用可信存取或委派管理員。