AWS verwaltete Richtlinien für ROSA - Red Hat OpenShift Service in AWS
AWS verwaltete Richtlinie: ROSAManageSubscriptionROSAmit HCP KontorichtlinienROSAmit HCP BetreiberrichtlinienROSA Aktualisierungen der AWS verwalteten Richtlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS verwaltete Richtlinien für ROSA

Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS. AWS Verwaltete Richtlinien dienen dazu, Berechtigungen für viele gängige Anwendungsfälle bereitzustellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.

Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie kundenverwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.

Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS -Service wird oder neue API Operationen für bestehende Dienste verfügbar werden. Weitere Informationen finden Sie im IAM Benutzerhandbuch unter AWS Verwaltete Richtlinien.

AWS verwaltete Richtlinie: ROSAManageSubscription

Sie können die ROSAManageSubscription Richtlinie an Ihre IAM Entitäten anhängen. Bevor Sie sie ROSA in der AWS ROSA Konsole aktivieren, müssen Sie diese Richtlinie zunächst einer Konsolenrolle zuordnen.

Diese Richtlinie gewährt Ihnen die AWS Marketplace Berechtigungen, die Sie zur Verwaltung des ROSA Abonnements benötigen.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • aws-marketplace:Subscribe- Erteilt die Erlaubnis, das AWS Marketplace Produkt zu abonnieren für ROSA.

  • aws-marketplace:Unsubscribe- Ermöglicht Prinzipalen, Abonnements für AWS Marketplace Produkte zu entfernen.

  • aws-marketplace:ViewSubscriptions- Ermöglicht Prinzipalen das Anzeigen von Abonnements von. AWS Marketplace Dies ist erforderlich, damit der IAM Principal die verfügbaren AWS Marketplace Abonnements einsehen kann.

Das vollständige JSON Richtliniendokument finden Sie ROSAManageSubscriptionim Referenzhandbuch für AWS verwaltete Richtlinien.

ROSAmit HCP Kontorichtlinien

Dieser Abschnitt enthält Einzelheiten zu den Kontorichtlinien, die für ROSA gehostete Steuerungsebenen erforderlich sind (HCP). Diese AWS verwalteten Richtlinien fügen Berechtigungen hinzu, die von ROSA HCP IAM With-Rollen verwendet werden. Die Berechtigungen sind für den technischen Support von Red Hat Site Reliability Engineering (SRE), die Cluster-Installation sowie die Funktionen der Steuerungsebene und der Rechenleistung erforderlich.

Anmerkung

AWS verwaltete Richtlinien sind für die Verwendung ROSA mit gehosteten Steuerungsebenen (HCP) vorgesehen. ROSAklassische Cluster verwenden vom Kunden verwaltete IAM Richtlinien. Weitere Informationen zu ROSA klassischen Richtlinien finden Sie unter ROSAklassische Kontorichtlinien undROSAklassische Betreiberrichtlinien.

AWS verwaltete Richtlinie: ROSAWorkerInstancePolicy

Sie können sie ROSAWorkerInstancePolicy an Ihre IAM Entitäten anhängen. Bevor Sie einen Cluster ROSA mit gehosteten Steuerungsebenen erstellen, müssen Sie diese Richtlinie zunächst einer IAM Worker-Rolle zuordnen.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen, mit denen der ROSA Dienst die folgenden Aufgaben ausführen kann:

  • ec2— Überprüfung AWS-Region und Amazon EC2 Instanzdetails im Rahmen des Lebenszyklusmanagements von Worker-Knoten in einem ROSA Cluster.

Das vollständige JSON Richtliniendokument finden Sie ROSAWorkerInstancePolicyim Referenzhandbuch für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: ROSASRESupportPolicy

Sie können sie ROSASRESupportPolicy an Ihre IAM Entitäten anhängen.

Bevor Sie einen Cluster ROSA mit gehosteten Steuerungsebenen erstellen, müssen Sie diese Richtlinie zunächst einer IAM Support-Rolle zuordnen. Diese Richtlinie gewährt Red Hat Site Reliability Engineers (SREs) die erforderlichen Berechtigungen, um AWS Ressourcen im Zusammenhang mit ROSA Clustern direkt zu beobachten, zu diagnostizieren und zu unterstützen, einschließlich der Möglichkeit, den Status von ROSA Clusterknoten zu ändern.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen, die es Red Hat SREs ermöglichen, die folgenden Aufgaben auszuführen:

  • cloudtrail— Lesen Sie AWS CloudTrail Ereignisse und Trails, die für den Cluster relevant sind.

  • cloudwatch— Lesen Sie die für den Cluster relevanten Amazon CloudWatch Metriken.

  • ec2— Lesen, beschreiben und überprüfen Sie Amazon EC2 Komponenten, die sich auf den Zustand des Clusters beziehen, wie Sicherheitsgruppen, VPC Endpunktverbindungen und Volume-Status. Amazon EC2 Instances starten, stoppen, neu starten und beenden.

  • elasticloadbalancing— Lesen, beschreiben und überprüfen Sie Elastic Load Balancing Parameter, die sich auf den Zustand des Clusters beziehen.

  • iam— Evaluieren Sie IAM Rollen, die sich auf den Zustand des Clusters beziehen.

  • route53— Überprüfen Sie die DNS Einstellungen, die sich auf den Zustand des Clusters beziehen.

  • stsDecodeAuthorizationMessage — IAM Nachrichten zu Debugging-Zwecken lesen.

Das vollständige JSON Richtliniendokument finden Sie ROSASRESupportPolicyim Referenzhandbuch für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: ROSAInstallerPolicy

Sie können sie ROSAInstallerPolicy an Ihre IAM Entitäten anhängen.

Bevor Sie einen Cluster ROSA mit gehosteten Steuerungsebenen erstellen, müssen Sie diese Richtlinie zunächst einer IAM Rolle mit dem Namen zuordnen[Prefix]-ROSA-Worker-Role. Diese Richtlinie ermöglicht es Entitäten, einem Instanzprofil jede Rolle hinzuzufügen, die dem [Prefix]-ROSA-Worker-Role Muster folgt. Diese Richtlinie gewährt dem Installationsprogramm die erforderlichen Berechtigungen zur Verwaltung von AWS Ressourcen, die die ROSA Clusterinstallation unterstützen.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen, mit denen das Installationsprogramm die folgenden Aufgaben ausführen kann:

  • ec2— Führen Sie Amazon EC2 Instances mithilfe von AMIs Hosted in aus, das AWS-Konten Eigentum von Red Hat ist und von Red Hat verwaltet wird. Beschreiben Sie Amazon EC2 Instanzen, Volumes und Netzwerkressourcen, die mit Amazon EC2 Knoten verknüpft sind. Diese Berechtigung ist erforderlich, damit die Kubernetes-Steuerebene Instanzen zu einem Cluster zusammenfügen kann und der Cluster ihre Präsenz innerhalb eines Clusters auswerten kann. Amazon VPC Kennzeichnen Sie Subnetze mithilfe von übereinstimmenden Tag-Schlüsseln. "kubernetes.io/cluster/*" Dies ist erforderlich, um sicherzustellen, dass der für den Clustereingang verwendete Load Balancer nur in den entsprechenden Subnetzen erstellt wird.

  • elasticloadbalancing— Fügen Sie Load Balancer zu Zielknoten in einem Cluster hinzu. Entfernen Sie Load Balancer von den Zielknoten auf einem Cluster. Diese Berechtigung ist erforderlich, damit die Kubernetes-Steuerebene Load Balancer dynamisch bereitstellen kann, die von Kubernetes-Diensten und Anwendungsdiensten angefordert werden. OpenShift

  • kms— Lesen Sie einen AWS KMS Schlüssel, erstellen und verwalten Sie Zuschüsse für und geben Sie Amazon EC2 einen eindeutigen symmetrischen Datenschlüssel zur Verwendung außerhalb von zurück. AWS KMS Dies ist für die Verwendung verschlüsselter etcd Daten erforderlich, wenn die etcd Verschlüsselung bei der Clustererstellung aktiviert ist.

  • iam— Überprüfen Sie IAM Rollen und Richtlinien. Dynamische Bereitstellung und Verwaltung von Amazon EC2 Instanzprofilen, die für den Cluster relevant sind. Fügen Sie mithilfe der iam:TagInstanceProfile Berechtigung Tags zu einem IAM Instanzprofil hinzu. Stellen Sie Fehlermeldungen für das Installationsprogramm bereit, wenn die Clusterinstallation aufgrund eines fehlenden kundenspezifischen OIDC Clusteranbieters fehlschlägt.

  • route53— Verwaltet die Route 53 Ressourcen, die für die Erstellung von Clustern benötigt werden.

  • servicequotas— Evaluieren Sie die für die Erstellung eines Clusters erforderlichen Dienstkontingente.

  • sts— Erstellen Sie temporäre AWS STS Anmeldeinformationen für ROSA Komponenten. Gehen Sie von den Anmeldeinformationen für die Clustererstellung aus.

  • secretsmanager— Lesen Sie einen geheimen Wert, um eine vom Kunden verwaltete OIDC Konfiguration im Rahmen der Cluster-Bereitstellung auf sichere Weise zu ermöglichen.

Das vollständige JSON Richtliniendokument finden Sie ROSAInstallerPolicyim Referenzhandbuch für AWS verwaltete Richtlinien.

ROSAmit HCP Betreiberrichtlinien

Dieser Abschnitt enthält Einzelheiten zu den Betreiberrichtlinien, die für ROSA gehostete Steuerungsebenen (HCP) erforderlich sind. Sie können diese AWS verwalteten Richtlinien den Operatorrollen zuordnen, die für die Verwendung ROSA mit erforderlich sindHCP. Die Berechtigungen sind erforderlich, damit OpenShift Operatoren HCP Clusterknoten verwalten ROSA können.

Anmerkung

AWS verwaltete Richtlinien sind für die Verwendung ROSA mit gehosteten Steuerungsebenen (HCP) vorgesehen. ROSAklassische Cluster verwenden vom Kunden verwaltete IAM Richtlinien. Weitere Informationen zu ROSA klassischen Richtlinien finden Sie unter ROSAklassische Kontorichtlinien undROSAklassische Betreiberrichtlinien.

AWS verwaltete Richtlinie: ROSAAmazonEBSCSIDriverOperatorPolicy

Sie können sie ROSAAmazonEBSCSIDriverOperatorPolicy an Ihre IAM Entitäten anhängen. Sie müssen diese Richtlinie einer IAM Operator-Rolle zuordnen, damit ein Cluster ROSA mit gehosteten Steuerungsebenen Anrufe an andere tätigen kann AWS -Services. Für jeden Cluster ist ein eigener Satz von Operatorrollen erforderlich.

Diese Richtlinie gewährt dem Amazon EBS CSI Treiberoperator die erforderlichen Berechtigungen, um den Amazon EBS CSI Treiber auf einem ROSA Cluster zu installieren und zu verwalten. Weitere Informationen zum Operator finden Sie in der OpenShift GitHub Dokumentation unter aws-ebs-csi-driver Operator.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen, mit denen der Amazon EBS Fahreroperator die folgenden Aufgaben ausführen kann:

  • ec2— Amazon EBS Volumes, die an Amazon EC2 Instanzen angehängt sind, erstellen, ändern, anhängen, trennen und löschen. Erstellen und löschen Sie Amazon EBS Volume-Snapshots und listen Sie Amazon EC2 Instances, Volumes und Snapshots auf.

Das vollständige JSON Richtliniendokument finden Sie ROSAAmazonEBSCSIDriverOperatorPolicyim Referenzhandbuch für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: ROSAIngressOperatorPolicy

Sie können sie ROSAIngressOperatorPolicy an Ihre IAM Entitäten anhängen. Sie müssen diese Richtlinie einer IAM Operator-Rolle zuordnen, damit ein Cluster ROSA mit gehosteten Steuerungsebenen Anrufe an andere tätigen kann AWS -Services. Für jeden Cluster ist ein eigener Satz von Operatorrollen erforderlich.

Diese Richtlinie gewährt dem Ingress-Operator die erforderlichen Berechtigungen zur Bereitstellung und Verwaltung von Load Balancern und DNS Konfigurationen für ROSA Cluster. Die Richtlinie ermöglicht den Lesezugriff auf Tag-Werte. Der Operator filtert dann die Tag-Werte nach Route 53 Ressourcen, um gehostete Zonen zu erkennen. Weitere Informationen zum Operator finden Sie in der OpenShift GitHub Dokumentation unter OpenShift Ingress Operator.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen, die es dem Ingress-Operator ermöglichen, die folgenden Aufgaben auszuführen:

  • elasticloadbalancing— Beschreiben Sie den Status der bereitgestellten Load Balancer.

  • route53— Route 53 Listet gehostete Zonen auf und bearbeitet Datensätze, die die vom Cluster DNS kontrollierten Zonen verwalten. ROSA

  • tag— Verwaltet markierte Ressourcen mithilfe der entsprechenden tag:GetResources Berechtigung.

Das vollständige JSON Richtliniendokument finden Sie ROSAIngressOperatorPolicyim Referenzhandbuch für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: ROSAImageRegistryOperatorPolicy

Sie können sie ROSAImageRegistryOperatorPolicy an Ihre IAM Entitäten anhängen. Sie müssen diese Richtlinie einer IAM Operator-Rolle zuordnen, damit ein Cluster ROSA mit gehosteten Steuerungsebenen Anrufe an andere tätigen kann AWS -Services. Für jeden Cluster ist ein eigener Satz von Operatorrollen erforderlich.

Diese Richtlinie gewährt dem Image Registry Operator die erforderlichen Berechtigungen zur Bereitstellung und Verwaltung von Ressourcen für die ROSA Cluster-interne Image-Registry und abhängige Dienste, einschließlich S3. Dies ist erforderlich, damit der Betreiber die interne Registrierung eines ROSA Clusters installieren und verwalten kann. Weitere Informationen zum Operator finden Sie in der OpenShift GitHub Dokumentation unter Image Registry Operator.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen, mit denen der Image Registry Operator die folgenden Aktionen ausführen kann:

  • s3— Amazon S3 Buckets als persistenten Speicher für Container-Image-Inhalte und Cluster-Metadaten verwalten und auswerten.

Das vollständige JSON Richtliniendokument finden Sie ROSAImageRegistryOperatorPolicyim Referenzhandbuch für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: ROSACloudNetworkConfigOperatorPolicy

Sie können sie ROSACloudNetworkConfigOperatorPolicy an Ihre IAM Entitäten anhängen. Sie müssen diese Richtlinie einer IAM Operator-Rolle zuordnen, damit ein Cluster ROSA mit gehosteten Steuerungsebenen Anrufe an andere tätigen kann AWS -Services. Für jeden Cluster ist ein eigener Satz von Operatorrollen erforderlich.

Diese Richtlinie gewährt dem Cloud Network Config Controller Operator die erforderlichen Berechtigungen zur Bereitstellung und Verwaltung von Netzwerkressourcen für das ROSA Cluster-Netzwerk-Overlay. Der Betreiber verwendet diese Berechtigungen, um private IP-Adressen für Amazon EC2 Instanzen als Teil des ROSA Clusters zu verwalten. Weitere Informationen zum Operator finden Sie loud-network-config-controller in der OpenShift GitHub Dokumentation unter C.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen, mit denen der Cloud Network Config Controller Operator die folgenden Aufgaben ausführen kann:

  • ec2— Lesen, Zuweisen und Beschreiben von Konfigurationen für die Verbindung von Amazon EC2 Instances, Amazon VPC Subnetzen und elastischen Netzwerkschnittstellen in einem ROSA Cluster.

Das vollständige JSON Richtliniendokument finden Sie ROSACloudNetworkConfigOperatorPolicyim Referenzhandbuch für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: ROSAKubeControllerPolicy

Sie können sie ROSAKubeControllerPolicy an Ihre IAM Entitäten anhängen. Sie müssen diese Richtlinie einer IAM Operator-Rolle zuordnen, damit ein Cluster ROSA mit gehosteten Steuerungsebenen Anrufe an andere tätigen kann AWS -Services. Für jeden Cluster ist ein eigener Satz von Operatorrollen erforderlich.

Diese Richtlinie gewährt dem Kube-Controller die erforderlichen Berechtigungen zur Verwaltung von Amazon EC2 Elastic Load Balancing, und AWS KMS Ressourcen für einen Cluster ROSA mit gehosteten Steuerungsebenen. Weitere Informationen zu diesem Controller finden Sie in der OpenShift Dokumentation unter Controller-Architektur.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen, mit denen der Kube-Controller die folgenden Aufgaben ausführen kann:

  • ec2— Amazon EC2 Instanz-Sicherheitsgruppen erstellen, löschen und Tags hinzufügen. Fügen Sie Sicherheitsgruppen Regeln für eingehenden Datenverkehr hinzu. Beschreiben Sie Availability Zones, Amazon EC2 Instanzen, Routing-TabellenVPCs, Sicherheitsgruppen und Subnetze.

  • elasticloadbalancing— Erstellen und verwalten Sie Load Balancer und deren Richtlinien. Erstellen und verwalten Sie Load Balancer-Listener. Registrieren Sie Ziele bei Zielgruppen und verwalten Sie Zielgruppen. Registrieren und deregistrieren Sie Amazon EC2 Instances bei einem Load Balancer und fügen Sie Tags zu Load Balancern hinzu.

  • kms— Ruft detaillierte Informationen zu einem Schlüssel ab. AWS KMS Dies ist für die Verwendung verschlüsselter etcd Daten erforderlich, wenn die etcd Verschlüsselung bei der Clustererstellung aktiviert ist.

Das vollständige JSON Richtliniendokument finden Sie ROSAKubeControllerPolicyim Referenzhandbuch für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: ROSANodePoolManagementPolicy

Sie können sie ROSANodePoolManagementPolicy an Ihre IAM Entitäten anhängen. Sie müssen diese Richtlinie einer IAM Operator-Rolle zuordnen, damit ein Cluster ROSA mit gehosteten Steuerungsebenen Anrufe an andere AWS Dienste tätigen kann. Für jeden Cluster ist ein eigener Satz von Operatorrollen erforderlich.

Diese Richtlinie gewährt dem NodePool Controller die erforderlichen Berechtigungen zum Beschreiben, Ausführen und Beenden von Amazon EC2 Instanzen, die als Worker-Knoten verwaltet werden. Diese Richtlinie gewährt auch Berechtigungen, um die Festplattenverschlüsselung des Worker-Knoten-Root-Volumes mithilfe von AWS KMS Schlüsseln zu ermöglichen. Weitere Informationen zu diesem Controller finden Sie in der OpenShift Dokumentation unter Controller-Architektur.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen, mit denen der NodePool Controller die folgenden Aufgaben ausführen kann:

  • ec2— Führen Sie Amazon EC2 Instances mithilfe von AMIs Hosted in aus, das AWS-Konten Eigentum von Red Hat ist und von Red Hat verwaltet wird. Verwalten Sie EC2 Lebenszyklen im ROSA Cluster. Erstellen und integrieren Sie dynamisch Worker-Knoten mit Elastic Load Balancing, Amazon VPC, Route 53 Amazon EBS, und. Amazon EC2

  • iam— Verwendung Elastic Load Balancing über die angegebene, mit dem Dienst verknüpfte Rolle. AWSServiceRoleForElasticLoadBalancing Weisen Sie Amazon EC2 Instanzprofilen Rollen zu.

  • kms— Lesen Sie einen AWS KMS Schlüssel, erstellen und verwalten Sie Zuschüsse für und geben Sie einen eindeutigen symmetrischen Datenschlüssel zur Verwendung außerhalb von AWS KMS zurück. Amazon EC2 Dies ist erforderlich, um die Festplattenverschlüsselung des Root-Volumes des Worker-Knotens zu ermöglichen.

Das vollständige JSON Richtliniendokument finden Sie ROSANodePoolManagementPolicyim Referenzhandbuch für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: ROSAKMSProviderPolicy

Sie können sie ROSAKMSProviderPolicy an Ihre IAM Entitäten anhängen. Sie müssen diese Richtlinie einer IAM Operator-Rolle zuordnen, damit ein Cluster ROSA mit gehosteten Steuerungsebenen Anrufe an andere tätigen kann AWS -Services. Für jeden Cluster ist ein eigener Satz von Operatorrollen erforderlich.

Diese Richtlinie gewährt dem integrierten AWS Encryption Provider die erforderlichen Berechtigungen zur Verwaltung von AWS KMS Schlüsseln, die etcd Datenverschlüsselung unterstützen. Diese Richtlinie ermöglicht Amazon EC2 die Verwendung von KMS Schlüsseln, die der AWS Encryption Provider zur Verschlüsselung und Entschlüsselung von Daten bereitstellt. etcd Weitere Informationen zu diesem Anbieter finden Sie unter AWS Encryption Provider in der GitHub Kubernetes-Dokumentation.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen, die es dem AWS Encryption Provider ermöglichen, die folgenden Aufgaben auszuführen:

  • kms— Schlüssel verschlüsseln, entschlüsseln und abrufen. AWS KMS Dies ist für die Verwendung verschlüsselter etcd Daten erforderlich, wenn die etcd Verschlüsselung bei der Clustererstellung aktiviert ist.

Das vollständige JSON Richtliniendokument finden Sie ROSAKMSProviderPolicyim Referenzhandbuch für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: ROSAControlPlaneOperatorPolicy

Sie können sie ROSAControlPlaneOperatorPolicy an Ihre IAM Entitäten anhängen. Sie müssen diese Richtlinie einer IAM Operator-Rolle zuordnen, damit ein Cluster ROSA mit gehosteten Steuerungsebenen Anrufe an andere tätigen kann AWS -Services. Für jeden Cluster ist ein eigener Satz von Operatorrollen erforderlich.

Diese Richtlinie gewährt dem Bediener der Kontrollebene die erforderlichen Berechtigungen für die Verwaltung von Clustern Amazon EC2 und Route 53 Ressourcen für ROSA gehostete Steuerungsebenen. Weitere Informationen zu diesem Operator finden Sie in der OpenShift Dokumentation unter Controller-Architektur.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen, mit denen der Bediener der Steuerungsebene die folgenden Aufgaben ausführen kann:

  • ec2— Amazon VPC Endgeräte erstellen und verwalten.

  • route53— Route 53 Datensätze auflisten und ändern und gehostete Zonen auflisten.

Das vollständige JSON Richtliniendokument finden Sie ROSAControlPlaneOperatorPolicyim Referenzhandbuch für AWS verwaltete Richtlinien.

ROSA Aktualisierungen der AWS verwalteten Richtlinien

Hier finden Sie Informationen zu Aktualisierungen AWS verwalteter Richtlinien, die ROSA seit Beginn der Nachverfolgung dieser Änderungen durch diesen Dienst vorgenommen wurden. Abonnieren Sie den RSS Feed auf der Seite, um automatische Benachrichtigungen über Änderungen an dieser Dokumentverlauf Seite zu erhalten.

Änderung Beschreibung Datum

ROSANodePoolManagementPolicy— Richtlinie aktualisiert

ROSA Die Richtlinie wurde aktualisiert, sodass der ROSA Knotenpool-Manager DHCP Optionssätze beschreiben kann, um die richtigen privaten DNS Namen festzulegen. Weitere Informationen hierzu finden Sie unter AWS verwaltete Richtlinie: ROSANodePoolManagementPolicy.

2. Mai 2024

ROSAInstallerPolicy— Richtlinie aktualisiert

ROSA Die Richtlinie wurde aktualisiert, sodass das ROSA Installationsprogramm mithilfe von Tag-Schlüsseln Tags zu Subnetzen hinzufügen kann. "kubernetes.io/cluster/*" Weitere Informationen hierzu finden Sie unter AWS verwaltete Richtlinie: ROSAInstallerPolicy.

24. April 2024

ROSASRESupportPolicy— Richtlinie aktualisiert

ROSA Die Richtlinie wurde aktualisiert, sodass die SRE Rolle Informationen zu Instanzprofilen abrufen kann, die mit ROSA as gekennzeichnet wurdenred-hat-managed. Weitere Informationen hierzu finden Sie unter AWS verwaltete Richtlinie: ROSASRESupportPolicy.

10. April 2024

ROSAInstallerPolicy— Richtlinie aktualisiert

ROSA Die Richtlinie wurde aktualisiert, sodass das ROSA Installationsprogramm überprüfen kann, ob AWS verwaltete Richtlinien für IAM Rollen zugeordnet ROSA sind, die von verwendet werden ROSA. Mit diesem Update kann das Installationsprogramm auch feststellen, ob vom Kunden verwaltete Richtlinien an ROSA Rollen angehängt wurden. Weitere Informationen hierzu finden Sie unter AWS verwaltete Richtlinie: ROSAInstallerPolicy.

10. April 2024

ROSAInstallerPolicy— Richtlinie aktualisiert

ROSA Die Richtlinie wurde aktualisiert, sodass der Dienst Warnmeldungen für das Installationsprogramm ausgeben kann, wenn die Clusterinstallation aufgrund eines fehlenden vom Kunden angegebenen OIDC Clusteranbieters fehlschlägt. Dieses Update ermöglicht es dem Dienst auch, vorhandene DNS Nameserver abzurufen, sodass Cluster-Bereitstellungsvorgänge idempotent sind. Weitere Informationen hierzu finden Sie unter AWS verwaltete Richtlinie: ROSAInstallerPolicy.

26. Januar 2024

ROSASRESupportPolicy— Richtlinie aktualisiert

ROSA Die Richtlinie wurde aktualisiert, sodass der Dienst Lesevorgänge für Sicherheitsgruppen mithilfe von ausführen kann DescribeSecurityGroups API. Weitere Informationen hierzu finden Sie unter AWS verwaltete Richtlinie: ROSASRESupportPolicy.

22. Januar 2024

ROSAImageRegistryOperatorPolicy— Richtlinie aktualisiert

ROSA Die Richtlinie wurde aktualisiert, sodass der Image-Registry-Betreiber Maßnahmen für Amazon S3 Buckets in Regionen mit 14-stelligen Namen ergreifen kann. Weitere Informationen hierzu finden Sie unter AWS verwaltete Richtlinie: ROSAImageRegistryOperatorPolicy.

12. Dezember 2023

ROSAKubeControllerPolicy— Die Richtlinie wurde aktualisiert

ROSA Die Richtlinie wurde aktualisiert, sodass Availability Zones, Amazon EC2 Instances, Routing-Tabellen, Sicherheitsgruppen und Subnetze beschrieben werden können. kube-controller-manager VPCs Weitere Informationen hierzu finden Sie unter AWS verwaltete Richtlinie: ROSAKubeControllerPolicy.

16. Oktober 2023

ROSAManageSubscription— Die Richtlinie wurde aktualisiert

ROSA Die Richtlinie wurde aktualisiert, sodass nun auch Steuerungsebenen ROSA mit gehosteten Steuerungsebenen hinzugefügt wurden ProductId. Weitere Informationen hierzu finden Sie unter AWS verwaltete Richtlinie: ROSAManageSubscription.

1. August 2023

ROSAKubeControllerPolicy— Richtlinie aktualisiert

ROSA Die Richtlinie wurde aktualisiert, sodass Network Load Balancer als Kubernetes-Dienst-Loadbalancer erstellt werden können. kube-controller-manager Network Load Balancer bieten eine bessere Fähigkeit, volatile Workloads zu bewältigen, und unterstützen statische IP-Adressen für den Load Balancer. Weitere Informationen hierzu finden Sie unter AWS verwaltete Richtlinie: ROSAKubeControllerPolicy.

13. Juli 2023

ROSANodePoolManagementPolicy— Neue Richtlinie hinzugefügt

ROSA Es wurde eine neue Richtlinie hinzugefügt, die es dem NodePool Controller ermöglicht, Amazon EC2 Instanzen zu beschreiben, auszuführen und zu beenden, die als Worker-Knoten verwaltet werden. Diese Richtlinie ermöglicht auch die Festplattenverschlüsselung des Worker-Knoten-Root-Volumes mithilfe von AWS KMS Schlüsseln. Weitere Informationen hierzu finden Sie unter AWS verwaltete Richtlinie: ROSANodePoolManagementPolicy.

08. Juni 2023

ROSAInstallerPolicy— Neue Richtlinie hinzugefügt

ROSA Es wurde eine neue Richtlinie hinzugefügt, die es dem Installer ermöglicht, AWS Ressourcen zu verwalten, die die Clusterinstallation unterstützen. Weitere Informationen hierzu finden Sie unter AWS verwaltete Richtlinie: ROSAInstallerPolicy.

6. Juni 2023

ROSASRESupportPolicy— Neue Richtlinie hinzugefügt

ROSA Es wurde eine neue Richtlinie hinzugefügt, die es Red Hat ermöglicht, AWS Ressourcen im Zusammenhang mit ROSA Clustern direkt SREs zu beobachten, zu diagnostizieren und zu unterstützen, einschließlich der Möglichkeit, den Status von ROSA Clusterknoten zu ändern. Weitere Informationen hierzu finden Sie unter AWS verwaltete Richtlinie: ROSASRESupportPolicy.

01. Juni 2023

ROSAKMSProviderPolicy— Neue Richtlinie hinzugefügt

ROSA Es wurde eine neue Richtlinie hinzugefügt, die es dem integrierten AWS Encryption Provider ermöglicht, AWS KMS Schlüssel zur Unterstützung der etcd-Datenverschlüsselung zu verwalten. Weitere Informationen hierzu finden Sie unter AWS verwaltete Richtlinie: ROSAKMSProviderPolicy.

27. April 2023

ROSAKubeControllerPolicy— Neue Richtlinie hinzugefügt

ROSA Es wurde eine neue Richtlinie hinzugefügt, die es dem Kube-Controller ermöglicht Amazon EC2 Elastic Load Balancing, AWS KMS Ressourcen für Cluster ROSA mit gehosteten Steuerungsebenen zu verwalten und zu verwalten. Weitere Informationen hierzu finden Sie unter AWS verwaltete Richtlinie: ROSAKubeControllerPolicy.

27. April 2023

ROSAImageRegistryOperatorPolicy— Neue Richtlinie hinzugefügt

ROSA Es wurde eine neue Richtlinie hinzugefügt, die es dem Image Registry Operator ermöglicht, Ressourcen für die ROSA Cluster-Image-Registry und abhängige Dienste, einschließlich S3, bereitzustellen und zu verwalten. Weitere Informationen hierzu finden Sie unter AWS verwaltete Richtlinie: ROSAImageRegistryOperatorPolicy.

27. April 2023

ROSAControlPlaneOperatorPolicy— Neue Richtlinie hinzugefügt

ROSA Es wurde eine neue Richtlinie hinzugefügt, die es dem Bediener der Kontrollebene ermöglicht, Cluster ROSA mit gehosteten Steuerungsebenen zu verwalten Amazon EC2 und Route 53 Ressourcen zu verwalten. Weitere Informationen hierzu finden Sie unter AWS verwaltete Richtlinie: ROSAControlPlaneOperatorPolicy.

24. April 2023

ROSACloudNetworkConfigOperatorPolicy— Neue Richtlinie hinzugefügt

ROSA hat eine neue Richtlinie hinzugefügt, die es dem Cloud Network Config Controller Operator ermöglicht, Netzwerkressourcen für das ROSA Cluster-Netzwerk-Overlay bereitzustellen und zu verwalten. Weitere Informationen hierzu finden Sie unter AWS verwaltete Richtlinie: ROSACloudNetworkConfigOperatorPolicy.

20. April 2023

ROSAIngressOperatorPolicy— Neue Richtlinie hinzugefügt

ROSA Es wurde eine neue Richtlinie hinzugefügt, die es dem Ingress Operator ermöglicht, Load Balancer und DNS Konfigurationen für ROSA Cluster bereitzustellen und zu verwalten. Weitere Informationen hierzu finden Sie unter AWS verwaltete Richtlinie: ROSAIngressOperatorPolicy.

20. April 2023

ROSAAmazonEBSCSIDriverOperatorPolicy— Neue Richtlinie hinzugefügt

ROSA Es wurde eine neue Richtlinie hinzugefügt, die es dem Amazon EBS CSI Treiberoperator ermöglicht, den Amazon EBS CSI Treiber auf einem ROSA Cluster zu installieren und zu warten. Weitere Informationen hierzu finden Sie unter AWS verwaltete Richtlinie: ROSAAmazonEBSCSIDriverOperatorPolicy.

20. April 2023

ROSAWorkerInstancePolicy— Neue Richtlinie hinzugefügt

ROSA Es wurde eine neue Richtlinie hinzugefügt, die es dem Dienst ermöglicht, Cluster-Ressourcen zu verwalten. Weitere Informationen hierzu finden Sie unter AWS verwaltete Richtlinie: ROSAWorkerInstancePolicy.

20. April 2023

ROSAManageSubscription— Neue Richtlinie hinzugefügt

ROSA Es wurde eine neue Richtlinie hinzugefügt, um die AWS Marketplace für die Verwaltung des ROSA Abonnements erforderlichen Berechtigungen zu gewähren. Weitere Informationen hierzu finden Sie unter AWS verwaltete Richtlinie: ROSAManageSubscription.

11. April 2022

Red Hat OpenShift Service in AWS hat begonnen, Änderungen zu verfolgen

Red Hat OpenShift Service in AWS hat begonnen, Änderungen für die AWS verwalteten Richtlinien zu verfolgen.

2. März 2022