AWS verwaltete Richtlinien für ROSA mit HCP-Operatorrollen

Anmerkung

Diese AWS verwalteten Richtlinien sind für die Verwendung durch ROSA mit Hosted Control Planes (HCP) vorgesehen. Die klassischen ROSA-Cluster verwenden vom Kunden verwaltete IAM-Richtlinien. Weitere Informationen zu den klassischen ROSA Richtlinien finden Sie unter ROSA Classic-Kontorichtlinien und ROSA Classic-Betreiberrichtlinien.

Diese AWS verwalteten Richtlinien fügen Berechtigungen hinzu, die von ROSA mit IAM-Rollen für Hosted Control Planes (HCP) verwendet werden. Die Berechtigungen sind für OpenShift Betreiber auf dem ROSA with HCP-Cluster erforderlich, um Clusterknoten zu verwalten.

AWS verwaltete Richtlinie: RosaAmazonEBSCSI DriverOperatorPolicy

Sie können eine Verbindung zu Ihren Entitäten herstellen. ROSAAmazonEBSCSIDriverOperatorPolicy IAM Sie müssen diese Richtlinie einer Operator-IAM-Rolle zuordnen, damit ein ROSA-Cluster mit gehosteten Steuerungsebenen Anrufe an andere AWS-Services vornehmen kann. Für jeden Cluster ist ein eigener Satz von Operatorrollen erforderlich.

Diese Richtlinie gewährt dem Amazon EBS CSI-Treiberoperator die erforderlichen Berechtigungen zur Installation und Wartung des Amazon EBS CSI-Treibers auf einem ROSA Cluster. Weitere Informationen zum Operator finden Sie in der OpenShift GitHub Dokumentation unter aws-ebs-csi-driver Operator.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen, mit denen der Amazon EBS Fahreroperator die folgenden Aufgaben ausführen kann:

• ec2— Amazon EBS Volumes, die an Amazon EC2 Instanzen angehängt sind, erstellen, ändern, anhängen, trennen und löschen. Erstellen und löschen Sie Amazon EBS Volume-Snapshots und listen Sie Amazon EC2 Instances, Volumes und Snapshots auf.

Das vollständige JSON-Richtliniendokument finden Sie unter RosaAmazonEBSCSI DriverOperatorPolicy im Managed Policy Reference Guide. AWS

AWS verwaltete Richtlinie: ROSA IngressOperatorPolicy

Sie können eine Verbindung ROSAIngressOperatorPolicy zu Ihren IAM Entitäten herstellen. Sie müssen diese Richtlinie einer Operator-IAM-Rolle zuordnen, damit ein ROSA-Cluster mit gehosteten Steuerungsebenen Anrufe an andere AWS-Services vornehmen kann. Für jeden Cluster ist ein eigener Satz von Operatorrollen erforderlich.

Diese Richtlinie gewährt dem Ingress-Operator die erforderlichen Berechtigungen zur Bereitstellung und Verwaltung von Load Balancern und DNS-Konfigurationen für ROSA Cluster. Die Richtlinie ermöglicht den Lesezugriff auf Tag-Werte. Der Operator filtert dann die Tag-Werte nach Route 53 Ressourcen, um gehostete Zonen zu erkennen. Weitere Informationen zum Operator finden Sie in der OpenShift GitHub Dokumentation unter OpenShift Ingress Operator.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen, die es dem Ingress-Operator ermöglichen, die folgenden Aufgaben auszuführen:

• elasticloadbalancing— Beschreiben Sie den Status der bereitgestellten Load Balancer.

• route53— Route 53 Listet gehostete Zonen auf und bearbeitet Einträge, die das vom ROSA-Cluster kontrollierte DNS verwalten.

• tag— Verwaltet markierte Ressourcen mithilfe der entsprechenden tag:GetResources Berechtigung.

Das vollständige JSON-Richtliniendokument finden Sie unter ROSA IngressOperatorPolicy im Referenzhandbuch für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: ROSA ImageRegistryOperatorPolicy

Sie können eine Verbindung ROSAImageRegistryOperatorPolicy zu Ihren IAM Entitäten herstellen. Sie müssen diese Richtlinie einer Operator-IAM-Rolle zuordnen, damit ein ROSA-Cluster mit gehosteten Steuerungsebenen Anrufe an andere AWS-Services vornehmen kann. Für jeden Cluster ist ein eigener Satz von Operatorrollen erforderlich.

Diese Richtlinie gewährt dem Image Registry Operator die erforderlichen Berechtigungen zur Bereitstellung und Verwaltung von Ressourcen für die ROSA Cluster-interne Image-Registry und abhängige Dienste, einschließlich S3. Dies ist erforderlich, damit der Betreiber die interne Registrierung eines ROSA Clusters installieren und verwalten kann. Weitere Informationen zum Operator finden Sie in der OpenShift GitHub Dokumentation unter Image Registry Operator.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen, mit denen der Image Registry Operator die folgenden Aktionen ausführen kann:

• s3— Amazon S3 Buckets als persistenten Speicher für Container-Image-Inhalte und Cluster-Metadaten verwalten und auswerten.

Das vollständige JSON-Richtliniendokument finden Sie unter ROSA ImageRegistryOperatorPolicy im Referenzhandbuch für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: ROSA CloudNetworkConfigOperatorPolicy

Sie können eine Verbindung ROSACloudNetworkConfigOperatorPolicy zu Ihren IAM Entitäten herstellen. Sie müssen diese Richtlinie einer Operator-IAM-Rolle zuordnen, damit ein ROSA-Cluster mit gehosteten Steuerungsebenen Anrufe an andere AWS-Services vornehmen kann. Für jeden Cluster ist ein eigener Satz von Operatorrollen erforderlich.

Diese Richtlinie gewährt dem Cloud Network Config Controller Operator die erforderlichen Berechtigungen zur Bereitstellung und Verwaltung von Netzwerkressourcen für das ROSA Cluster-Netzwerk-Overlay. Der Betreiber verwendet diese Berechtigungen, um private IP-Adressen für Amazon EC2 Instanzen als Teil des ROSA Clusters zu verwalten. Weitere Informationen zum Operator finden Sie loud-network-config-controller in der OpenShift GitHub Dokumentation unter C.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen, mit denen der Cloud Network Config Controller Operator die folgenden Aufgaben ausführen kann:

• ec2— Lesen, Zuweisen und Beschreiben von Konfigurationen für die Verbindung von Amazon EC2 Instances, Amazon VPC Subnetzen und elastischen Netzwerkschnittstellen in einem ROSA Cluster.

Das vollständige JSON-Richtliniendokument finden Sie unter ROSA CloudNetworkConfigOperatorPolicy im Referenzhandbuch für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: ROSA KubeControllerPolicy

Sie können eine Verbindung ROSAKubeControllerPolicy zu Ihren IAM Entitäten herstellen. Sie müssen diese Richtlinie einer Operator-IAM-Rolle zuordnen, damit ein ROSA-Cluster mit gehosteten Steuerungsebenen Anrufe an andere AWS-Services vornehmen kann. Für jeden Cluster ist ein eigener Satz von Operatorrollen erforderlich.

Diese Richtlinie gewährt dem Kube-Controller die erforderlichen Berechtigungen zur Verwaltung von Amazon EC2 Elastic Load Balancing, und AWS KMS Ressourcen für einen ROSA-Cluster mit gehosteten Steuerungsebenen. Weitere Informationen zu diesem Controller finden Sie in der OpenShift Dokumentation unter Controller-Architektur.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen, die es dem Kube-Controller ermöglichen, die folgenden Aufgaben auszuführen:

• ec2— Amazon EC2 Instanz-Sicherheitsgruppen erstellen, löschen und Tags hinzufügen. Fügen Sie Sicherheitsgruppen Regeln für eingehenden Datenverkehr hinzu. Beschreiben Sie Availability Zones, Amazon EC2 Instanzen, Routing-Tabellen, Sicherheitsgruppen, VPCs und Subnetze.

• elasticloadbalancing— Load Balancer und ihre Richtlinien erstellen und verwalten, Load Balancer-Listener erstellen und verwalten, Ziele bei Zielgruppen registrieren und Zielgruppen verwalten, Amazon EC2 Instances bei einem Load Balancer registrieren und deregistrieren und Tags zu Load Balancers hinzufügen.

• kms— Rufen Sie detaillierte Informationen zu einem Schlüssel ab. AWS KMS Dies ist für die Verwendung verschlüsselter etcd Daten erforderlich, wenn die etcd Verschlüsselung bei der Clustererstellung aktiviert ist.

Das vollständige JSON-Richtliniendokument finden Sie unter ROSA KubeControllerPolicy im Referenzhandbuch für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: ROSA NodePoolManagementPolicy

Sie können eine Verbindung ROSANodePoolManagementPolicy zu Ihren IAM Entitäten herstellen. Sie müssen diese Richtlinie an die IAM-Rolle eines Operators anhängen, damit ein ROSA-Cluster mit gehosteten Steuerungsebenen Anrufe an andere AWS Dienste tätigen kann. Für jeden Cluster ist ein eigener Satz von Operatorrollen erforderlich.

Diese Richtlinie gewährt dem NodePool Controller die erforderlichen Berechtigungen zum Beschreiben, Ausführen und Beenden von Amazon EC2 Instanzen, die als Worker-Knoten verwaltet werden. Diese Richtlinie gewährt auch Berechtigungen, um die Festplattenverschlüsselung des Worker-Knoten-Root-Volumes mithilfe von AWS KMS Schlüsseln zu ermöglichen. Weitere Informationen zu diesem Controller finden Sie in der OpenShift Dokumentation unter Controller-Architektur.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen, mit denen der NodePool Controller die folgenden Aufgaben ausführen kann:

• ec2— Führen Sie Amazon EC2 Instances mithilfe von AMIs aus, die auf AWS-Konten RedHat gehostet werden und von Red Hat verwaltet werden. Verwalten Sie EC2-Lebenszyklen im Cluster. ROSA Erstellen und integrieren Sie dynamisch Worker-Knoten mit Elastic Load Balancing,, Amazon VPC Route 53, Amazon EBS und. Amazon EC2

• iam— Verwendung Elastic Load Balancing über die angegebene serviceverknüpfte Rolle. AWSServiceRoleForElasticLoadBalancing Weisen Sie Amazon EC2 Instanzprofilen Rollen zu.

• kms— Lesen Sie einen AWS KMS Schlüssel, erstellen und verwalten Sie Zuschüsse für und geben Sie einen eindeutigen symmetrischen Datenschlüssel zur Verwendung außerhalb von AWS KMS zurück. Amazon EC2 Dies ist erforderlich, um die Festplattenverschlüsselung des Root-Volumes des Worker-Knotens zu ermöglichen.

Das vollständige JSON-Richtliniendokument finden Sie unter ROSA NodePoolManagementPolicy im Referenzhandbuch für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: ROSAMS ProviderPolicy

Sie können eine Verbindung ROSAKMSProviderPolicy zu Ihren IAM Entitäten herstellen. Sie müssen diese Richtlinie einer Operator-IAM-Rolle zuordnen, damit ein ROSA-Cluster mit gehosteten Steuerungsebenen Anrufe an andere AWS-Services vornehmen kann. Für jeden Cluster ist ein eigener Satz von Operatorrollen erforderlich.

Diese Richtlinie gewährt dem integrierten AWS Encryption Provider die erforderlichen Berechtigungen zur Verwaltung von AWS KMS Schlüsseln, die etcd Datenverschlüsselung unterstützen. Diese Richtlinie ermöglicht Amazon EC2 die Verwendung von KMS-Schlüsseln, die der AWS Encryption Provider zur Verschlüsselung und Entschlüsselung von Daten bereitstellt. etcd Weitere Informationen zu diesem Anbieter finden Sie unter AWS Encryption Provider in der GitHub Kubernetes-Dokumentation.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen, die es dem AWS Encryption Provider ermöglichen, die folgenden Aufgaben auszuführen:

• kms— Schlüssel verschlüsseln, entschlüsseln und abrufen. AWS KMS Dies ist für die Verwendung verschlüsselter etcd Daten erforderlich, wenn die etcd Verschlüsselung bei der Clustererstellung aktiviert ist.

Das vollständige JSON-Richtliniendokument finden Sie unter ROSAKMS ProviderPolicy im Referenzhandbuch für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: ROSA ControlPlaneOperatorPolicy

Sie können eine Verbindung ROSAControlPlaneOperatorPolicy zu Ihren IAM Entitäten herstellen. Sie müssen diese Richtlinie einer Operator-IAM-Rolle zuordnen, damit ein ROSA-Cluster mit gehosteten Steuerungsebenen Anrufe an andere AWS-Services vornehmen kann. Für jeden Cluster ist ein eigener Satz von Operatorrollen erforderlich.

Diese Richtlinie gewährt dem Kontrollebenenbetreiber die erforderlichen Berechtigungen für die Verwaltung Amazon EC2 und die Route 53 Ressourcen für ROSA mit gehosteten Steuerungsebenen-Clustern. Weitere Informationen zu diesem Operator finden Sie in der OpenShift Dokumentation unter Controller-Architektur.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen, mit denen der Bediener der Steuerungsebene die folgenden Aufgaben ausführen kann:

• ec2— Amazon VPC Endgeräte erstellen und verwalten.

• route53— Route 53 Datensätze auflisten und ändern und gehostete Zonen auflisten.

Das vollständige JSON-Richtliniendokument finden Sie unter ROSA ControlPlaneOperatorPolicy im Referenzhandbuch für AWS verwaltete Richtlinien.