AWS politiques gérées pour ROSA avec rôles de compte HCP - Red Hat OpenShift Service on AWS
AWS politique gérée : ROSA WorkerInstancePolicyAWS politique gérée : ROSASRE SupportPolicyAWS politique gérée : ROSA InstallerPolicy

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS politiques gérées pour ROSA avec rôles de compte HCP

Note

Ces politiques AWS gérées sont destinées à être utilisées par ROSA avec des plans de contrôle hébergés (HCP). Les clusters ROSA Classic utilisent des politiques IAM gérées par le client. Pour plus d'informations sur les politiques classiques de ROSA, consultez les politiques de compte classiques de ROSA et les politiques d'opérateur classiques de ROSA.

Ces politiques AWS gérées ajoutent les autorisations utilisées par ROSA avec les rôles IAM des plans de contrôle hébergés (HCP). Les autorisations sont requises pour le support technique de l'ingénierie de fiabilité des sites (SRE) Red Hat, l'installation du cluster, le plan de contrôle et les fonctionnalités de calcul.

AWS politique gérée : ROSA WorkerInstancePolicy

Vous pouvez les joindre ROSAWorkerInstancePolicy à vos IAM entités. Avant de créer un cluster ROSA avec plans de contrôle hébergés, vous devez d'abord associer cette politique à un rôle IAM de travail.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes qui permettent au ROSA service d'effectuer les tâches suivantes :

  • ec2— Révision Région AWS et détails de l' Amazon EC2 instance dans le cadre de la gestion du cycle de vie des nœuds de travail dans un ROSA cluster.

Pour consulter le document de politique JSON complet, consultez ROSA WorkerInstancePolicy dans le AWS Managed Policy Reference Guide.

AWS politique gérée : ROSASRE SupportPolicy

Vous pouvez attacher ROSASRESupportPolicy à vos entités IAM.

Avant de créer un cluster ROSA avec plans de contrôle hébergés, vous devez d'abord associer cette politique à un rôle IAM de support. Cette politique accorde les autorisations requises aux ingénieurs de fiabilité des sites (SRE) Red Hat pour observer, diagnostiquer et prendre en charge directement les AWS ressources associées aux ROSA clusters, y compris la possibilité de modifier l'état des nœuds de ROSA cluster.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes qui permettent à Red Hat SRes d'effectuer les tâches suivantes :

  • cloudtrail— Lisez AWS CloudTrail les événements et les sentiers pertinents pour le cluster.

  • cloudwatch— Lisez Amazon CloudWatch les métriques pertinentes pour le cluster.

  • ec2— Lisez, décrivez et passez en revue Amazon EC2 les composants liés à l'état du cluster, tels que les groupes de sécurité, les connexions aux points de terminaison VPC et l'état des volumes. Lancez, arrêtez, redémarrez et mettez fin à Amazon EC2 des instances.

  • elasticloadbalancing— Lisez, décrivez et passez en revue Elastic Load Balancing les paramètres liés à l'état de santé du cluster.

  • iam— Évaluez IAM les rôles liés à la santé du cluster.

  • route53— Vérifiez les paramètres DNS liés à l'état du cluster.

  • stsDecodeAuthorizationMessage — Lit IAM les messages à des fins de débogage.

Pour consulter le document de politique JSON complet, consultez ROSASRE SupportPolicy dans le AWS Managed Policy Reference Guide.

AWS politique gérée : ROSA InstallerPolicy

Vous pouvez les joindre ROSAInstallerPolicy à vos IAM entités.

Avant de créer un cluster ROSA avec plans de contrôle hébergés, vous devez d'abord associer cette politique à un rôle IAM nommé[Prefix]-ROSA-Worker-Role. Cette politique permet aux entités d'ajouter n'importe quel rôle qui suit le [Prefix]-ROSA-Worker-Role modèle à un profil d'instance. Cette politique accorde les autorisations nécessaires au programme d'installation pour gérer les AWS ressources qui prennent en charge l'installation ROSA du cluster.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes qui permettent au programme d'installation d'effectuer les tâches suivantes :

  • ec2— Exécutez Amazon EC2 des instances à l'aide d'AMI hébergées par Red Hat et Comptes AWS gérées par Red Hat. Décrivez les Amazon EC2 instances, les volumes et les ressources réseau associés aux Amazon EC2 nœuds. Cela est nécessaire pour que le plan de contrôle Kubernetes puisse joindre des instances à un cluster. Cela est également nécessaire pour que le cluster puisse évaluer sa présence au sein de celui-ci Amazon VPC. Marquez les sous-réseaux en utilisant la correspondance "kubernetes.io/cluster/*" des clés de balise. Cela est nécessaire pour garantir que l'équilibreur de charge utilisé pour l'entrée du cluster est créé uniquement dans les sous-réseaux applicables.

  • elasticloadbalancing— Ajoutez des équilibreurs de charge aux nœuds cibles d'un cluster. Supprimez les équilibreurs de charge des nœuds cibles d'un cluster. Cette autorisation est requise pour que le plan de contrôle Kubernetes puisse approvisionner dynamiquement les équilibreurs de charge demandés par les services Kubernetes et les services d'application. OpenShift

  • kms— Lisez une AWS KMS clé, créez et gérez les autorisations et Amazon EC2 renvoyez une clé de données symétrique unique à utiliser en dehors de AWS KMS. Cela est nécessaire pour l'utilisation de etcd données chiffrées lorsque le etcd chiffrement est activé lors de la création du cluster.

  • iam— Validez les rôles et les politiques IAM. Provisionnez et gérez de manière dynamique les profils d' Amazon EC2 instance pertinents pour le cluster. Ajoutez des balises à un profil d'instance IAM à l'aide de l'iam:TagInstanceProfileautorisation. Fournissez des messages d'erreur du programme d'installation lorsque l'installation du cluster échoue en raison de l'absence d'un fournisseur OIDC de cluster spécifié par le client.

  • route53— Gérez les Route 53 ressources nécessaires à la création de clusters.

  • servicequotas— Évaluez les quotas de service requis pour créer un cluster.

  • sts— Créez des AWS STS informations d'identification temporaires pour ROSA les composants. Supposez les informations d'identification nécessaires à la création du cluster.

  • secretsmanager— Lisez une valeur secrète pour autoriser en toute sécurité la configuration OIDC gérée par le client dans le cadre du provisionnement du cluster.

Pour consulter le document de politique JSON complet, consultez ROSA InstallerPolicy dans le AWS Managed Policy Reference Guide.