ROSA Beispiele für identitätsbasierte Richtlinien - Red Hat OpenShift Service in AWS
Verwenden der Konsole ROSAAutorisieren von ROSA mit HCP zur Verwaltung von Ressourcen AWSAutorisierung von ROSA classic zur Verwaltung von Ressourcen AWSGewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

ROSA Beispiele für identitätsbasierte Richtlinien

Standardmäßig sind Rollen nicht berechtigt, IAM-Benutzer Ressourcen zu erstellen oder zu ändern AWS . Sie können auch keine Aufgaben mit der AWS Management Console AWS CLI, oder AWS API ausführen. Ein IAM Administrator muss IAM Richtlinien erstellen, die Benutzern und Rollen die Erlaubnis gewähren, bestimmte API-Operationen mit den angegebenen Ressourcen auszuführen, die sie benötigen. Der Administrator muss diese Richtlinien dann den Gruppen IAM-Benutzer oder Gruppen zuordnen, für die diese Berechtigungen erforderlich sind.

Informationen zum Erstellen einer IAM identitätsbasierten Richtlinie mithilfe dieser Beispieldokumente zu JSON-Richtlinien finden Sie im IAM-Benutzerhandbuch unter Erstellen von Richtlinien auf der Registerkarte JSON.

Verwenden der Konsole ROSA

Um ROSA von der Konsole aus abonnieren zu können, muss Ihr IAM-Principal über die erforderlichen AWS Marketplace Berechtigungen verfügen. Die Berechtigungen ermöglichen es dem Prinzipal, das ROSA Produktangebot in Abonnements zu abonnieren und abzubestellen AWS Marketplace und AWS Marketplace Abonnements anzusehen. Um die erforderlichen Berechtigungen hinzuzufügen, rufen Sie die ROSA Konsole auf und hängen Sie die AWS verwaltete Richtlinie ROSAManageSubscription an Ihren IAM-Prinzipal an. Mehr über ROSAManageSubscription erfahren Sie unter AWS verwaltete Richtlinie: ROSAManage Abonnement.

Autorisieren von ROSA mit HCP zur Verwaltung von Ressourcen AWS

ROSA mit Hosted Control Planes (HCP) verwendet AWS verwaltete Richtlinien mit Berechtigungen, die für den Betrieb und Support der Dienste erforderlich sind. Sie verwenden die ROSA CLI oder IAM Konsole, um diese Richtlinien an Servicerollen in Ihrem anzuhängen AWS-Konto.

Weitere Informationen finden Sie unter AWS verwaltete Richtlinien für ROSA.

Autorisierung von ROSA classic zur Verwaltung von Ressourcen AWS

ROSA classic verwendet vom Kunden verwaltete IAM-Richtlinien mit vom Service vordefinierten Berechtigungen. Sie verwenden die ROSA CLI, um diese Richtlinien zu erstellen und sie an Servicerollen in Ihrem anzuhängen AWS-Konto. ROSA erfordert, dass diese Richtlinien so konfiguriert sind, wie sie vom Service definiert wurden, um einen kontinuierlichen Betrieb und Servicesupport zu gewährleisten.

Anmerkung

Sie sollten die Richtlinien von ROSA Classic nicht ändern, ohne vorher Red Hat zu konsultieren. Andernfalls kann das Service-Level-Agreement von Red Hat für eine Verfügbarkeit von 99,95% für Cluster unwirksam werden. ROSA mit gehosteten Kontrollebenen verwendet AWS verwaltete Richtlinien mit eingeschränkteren Berechtigungen. Weitere Informationen finden Sie unter AWS verwaltete Richtlinien für ROSA.

Es gibt zwei Arten von vom Kunden verwalteten Richtlinien für ROSA: Kontorichtlinien und Betreiberrichtlinien. Kontorichtlinien sind IAM Rollen zugeordnet, die der Service verwendet, um eine Vertrauensbeziehung mit Red Hat für den Support durch Site Reliability Engineer (SRE), die Clustererstellung und Rechenfunktionen aufzubauen. Operator-Richtlinien sind IAM Rollen zugeordnet, die OpenShift Operatoren für Cluster-Operationen in den Bereichen Ingress, Speicherung, Image-Registry und Node-Management verwenden. Kontorichtlinien werden einmal pro Cluster erstellt AWS-Konto, wohingegen Betreiberrichtlinien einmal pro Cluster erstellt werden.

Weitere Informationen erhalten Sie unter Klassische Kontorichtlinien von ROSA und Die klassischen ROSA-Betreiberrichtlinien.

Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer

Dieses Beispiel zeigt, wie Sie eine Richtlinie erstellen könnten, die es ermöglicht, IAM-Benutzer die internen und verwalteten Richtlinien anzuzeigen, die mit ihrer Benutzeridentität verknüpft sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe von. AWS CLI

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}