**帮助改进此页面**
要帮助改进本用户指南,请选择位于每个页面右侧窗格中的**在 GitHub 上编辑此页面**链接。
# 配置 EKS 控制面板与 AWS Organizations 的集成
本节将逐步说明如何配置 EKS 控制面板与 AWS Organizations 的集成。您将了解如何启用和禁用服务之间的可信访问,以及如何注册和取消注册委派管理员账户。每项配置任务均可使用 AWS 控制台或 AWS CLI 来执行。
## 启用信任访问权限
可信访问会授权 EKS 控制面板安全地访问组织中所有账户的集群信息。
### 使用 AWS 控制台
1. 登录 AWS Organization 的管理账户。
1. 导航到 us-east-1 区域中的 EKS 控制台。
1. 在左侧边栏中,选择“控制面板设置”。
1. 单击**启用可信访问**。
**注意**
您通过 EKS 控制台启用可信访问时,系统会自动创建 `AWSServiceRoleForAmazonEKSDashboard` 服务相关角色。如果您使用 AWS CLI 或 AWS Organizations 控制台启用可信访问,系统则不会自动创建。
### 使用 AWS CLI
1. 登录 AWS Organization 的管理账户。
1. 运行以下命令:
```
aws iam create-service-linked-role --aws-service-name dashboard.eks.amazonaws.com
aws organizations enable-aws-service-access --service-principal eks.amazonaws.com
```
## 禁用信任访问权限
禁用可信访问会撤销 EKS 控制面板访问您组织账户中集群信息的权限。
### 使用 AWS 控制台
1. 登录 AWS Organization 的管理账户。
1. 导航到 us-east-1 区域中的 EKS 控制台。
1. 在左侧边栏中,选择“控制面板设置”。
1. 单击**禁用可信访问**。
### 使用 AWS CLI
1. 登录 AWS Organization 的管理账户。
1. 运行如下命令:
```
aws organizations disable-aws-service-access --service-principal eks.amazonaws.com
```
## 启用委派管理员账户
委派管理员是获得 EKS 控制面板访问权限的成员账户。
### 使用 AWS 控制台
1. 登录 AWS Organization 的管理账户。
1. 导航到 us-east-1 区域中的 EKS 控制台。
1. 在左侧边栏中,选择“控制面板设置”。
1. 单击**注册委派管理员**。
1. 输入您要选择为委派管理员的 AWS 账户的 ID。
1. 确认注册。
### 使用 AWS CLI
1. 登录 AWS Organization 的管理账户。
1. 运行以下命令,将 `123456789012` 替换为您的账户 ID:
```
aws organizations register-delegated-administrator --account-id 123456789012 --service-principal eks.amazonaws.com
```
## 禁用委派管理员账户
禁用委派管理员会移除该账户访问 EKS 控制面板的权限。
### 使用 AWS 控制台
1. 登录 AWS Organization 的管理账户。
1. 导航到 us-east-1 区域中的 EKS 控制台。
1. 在左侧边栏中,选择“控制面板设置”。
1. 在列表中找到委派管理员。
1. 在您要移除的作为委派管理员的账户旁边,单击**取消注册**。
### 使用 AWS CLI
1. 登录 AWS Organization 的管理账户。
1. 运行以下命令,将 `123456789012` 替换为委派管理员的账户 ID:
```
aws organizations deregister-delegated-administrator --account-id 123456789012 --service-principal eks.amazonaws.com
```
## 所需的最低 IAM 策略
本节概述了针对 EKS 控制面板与 AWS Organizations 的集成启用可信访问和委派管理员所需的最低 IAM 策略。
### 启用可信访问的策略
要在 EKS 控制面板和 AWS Organizations 之间启用可信访问,您需要以下权限:
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:DescribeOrganization",
"organizations:ListAWSServiceAccessForOrganization"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/dashboard.eks.amazonaws.com/AWSServiceRoleForAmazonEKSDashboard"
}
]
}
```
### 委派管理员的策略
要注册或取消注册 EKS 控制面板的委派管理员,您需要以下权限:
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:RegisterDelegatedAdministrator",
"organizations:DeregisterDelegatedAdministrator",
"organizations:ListDelegatedAdministrators"
],
"Resource": "*"
}
]
}
```
### 查看 EKS 控制面板的策略
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonEKSDashboardReadOnly",
"Effect": "Allow",
"Action": [
"eks:ListDashboardData",
"eks:ListDashboardResources",
"eks:DescribeClusterVersions"
],
"Resource": "*"
},
{
"Sid": "AmazonOrganizationsReadOnly",
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:ListRoots",
"organizations:ListAccountsForParent",
"organizations:ListOrganizationalUnitsForParent"
],
"Resource": "*"
},
{
"Sid": "AmazonOrganizationsDelegatedAdmin",
"Effect": "Allow",
"Action": [
"organizations:ListDelegatedAdministrators"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": "eks.amazonaws.com"
}
}
}
]
}
```
**注意**
这些策略必须附加到 AWS Organizations 管理账户中的 IAM 主体(用户或角色)。成员账户无法启用可信访问或委派管理员。