AWS politique gérée : RosaAmazoneBSCSI DriverOperatorPolicy AWS politique gérée : ROSA IngressOperatorPolicy AWS politique gérée : ROSA ImageRegistryOperatorPolicy AWS politique gérée : ROSA CloudNetworkConfigOperatorPolicy AWS politique gérée : ROSA KubeControllerPolicy AWS politique gérée : ROSA NodePoolManagementPolicy AWS politique gérée : ROSAKMS ProviderPolicy AWS politique gérée : ROSA ControlPlaneOperatorPolicy

AWS politiques gérées pour ROSA avec rôles d'opérateur HCP

Note

Ces politiques AWS gérées sont destinées à être utilisées par ROSA avec des plans de contrôle hébergés (HCP). Les clusters ROSA Classic utilisent des politiques IAM gérées par le client. Pour plus d'informations sur les politiques classiques de ROSA, consultez les politiques de compte classiques de ROSA et les politiques d'opérateur classiques de ROSA.

Ces politiques AWS gérées ajoutent les autorisations utilisées par ROSA avec les rôles IAM des plans de contrôle hébergés (HCP). Les autorisations sont requises pour que OpenShift les opérateurs du cluster ROSA with HCP puissent gérer les nœuds du cluster.

Rubriques

AWS politique gérée : RosaAmazoneBSCSI DriverOperatorPolicy
AWS politique gérée : ROSA IngressOperatorPolicy
AWS politique gérée : ROSA ImageRegistryOperatorPolicy
AWS politique gérée : ROSA CloudNetworkConfigOperatorPolicy
AWS politique gérée : ROSA KubeControllerPolicy
AWS politique gérée : ROSA NodePoolManagementPolicy
AWS politique gérée : ROSAKMS ProviderPolicy
AWS politique gérée : ROSA ControlPlaneOperatorPolicy

AWS politique gérée : RosaAmazoneBSCSI DriverOperatorPolicy

Vous pouvez les joindre ROSAAmazonEBSCSIDriverOperatorPolicy à vos IAM entités. Vous devez associer cette politique à un rôle IAM d'opérateur pour permettre à un cluster ROSA doté de plans de contrôle hébergés de passer des appels à d'autres Services AWS opérateurs. Un ensemble unique de rôles d'opérateur est requis pour chaque cluster.

Cette politique accorde les autorisations nécessaires à l'opérateur du pilote Amazon EBS CSI pour installer et gérer le pilote Amazon EBS CSI sur un ROSA cluster. Pour plus d'informations sur l'opérateur, consultez la section aws-ebs-csi-driver opérateur dans la OpenShift GitHub documentation.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes qui permettent au Amazon EBS chauffeur opérateur d'effectuer les tâches suivantes :

ec2— Créez, modifiez, attachez, détachez et supprimez Amazon EBS des volumes attachés à des Amazon EC2 instances. Créez et supprimez des instantanés de Amazon EBS volume et listez Amazon EC2 les instances, les volumes et les instantanés.

Pour consulter le document de politique JSON complet, consultez RosaAmazoneBSCSI DriverOperatorPolicy dans le Managed Policy Reference Guide. AWS

AWS politique gérée : ROSA IngressOperatorPolicy

Vous pouvez les joindre ROSAIngressOperatorPolicy à vos IAM entités. Vous devez associer cette politique à un rôle IAM d'opérateur pour permettre à un cluster ROSA doté de plans de contrôle hébergés de passer des appels à d'autres Services AWS opérateurs. Un ensemble unique de rôles d'opérateur est requis pour chaque cluster.

Cette politique accorde les autorisations requises à l'opérateur d'entrée pour provisionner et gérer les équilibreurs de charge et les configurations DNS pour les ROSA clusters. La politique autorise l'accès en lecture aux valeurs des balises. L'opérateur filtre ensuite les valeurs des balises pour les Route 53 ressources afin de découvrir les zones hébergées. Pour plus d'informations sur l'opérateur, voir OpenShift Ingress Operator dans la OpenShift GitHub documentation.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes qui permettent à l'opérateur d'entrée d'effectuer les tâches suivantes :

elasticloadbalancing— Décrivez l'état des équilibreurs de charge provisionnés.
route53— Répertoriez les zones Route 53 hébergées et modifiez les enregistrements qui gèrent le DNS contrôlé par le cluster ROSA.
tag— Gérez les ressources étiquetées en utilisant l'tag:GetResourcesautorisation.

Pour consulter le document de politique JSON complet, consultez ROSA IngressOperatorPolicy dans le AWS Managed Policy Reference Guide.

AWS politique gérée : ROSA ImageRegistryOperatorPolicy

Vous pouvez les joindre ROSAImageRegistryOperatorPolicy à vos IAM entités. Vous devez associer cette politique à un rôle IAM d'opérateur pour permettre à un cluster ROSA doté de plans de contrôle hébergés de passer des appels à d'autres Services AWS opérateurs. Un ensemble unique de rôles d'opérateur est requis pour chaque cluster.

Cette politique accorde les autorisations requises à l'opérateur de registre d'images pour fournir et gérer les ressources pour le registre ROSA d'images du cluster et les services dépendants, y compris S3. Cela est nécessaire pour que l'opérateur puisse installer et gérer le registre interne d'un ROSA cluster. Pour plus d'informations sur l'opérateur, consultez la section Opérateur de registre d'images dans la OpenShift GitHub documentation.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes qui permettent à l'opérateur du registre d'images d'effectuer les actions suivantes :

s3— Gérez et évaluez les Amazon S3 buckets en tant que stockage permanent pour le contenu des images du conteneur et les métadonnées du cluster.

Pour consulter le document de politique JSON complet, consultez ROSA ImageRegistryOperatorPolicy dans le AWS Managed Policy Reference Guide.

AWS politique gérée : ROSA CloudNetworkConfigOperatorPolicy

Vous pouvez les joindre ROSACloudNetworkConfigOperatorPolicy à vos IAM entités. Vous devez associer cette politique à un rôle IAM d'opérateur pour permettre à un cluster ROSA doté de plans de contrôle hébergés de passer des appels à d'autres Services AWS opérateurs. Un ensemble unique de rôles d'opérateur est requis pour chaque cluster.

Cette politique accorde les autorisations requises à l'opérateur Cloud Network Config Controller pour provisionner et gérer les ressources réseau pour la superposition réseau du ROSA cluster. L'opérateur utilise ces autorisations pour gérer les adresses IP privées Amazon EC2 des instances faisant partie du ROSA cluster. Pour plus d'informations sur l'opérateur, voir C loud-network-config-controller dans la OpenShift GitHub documentation.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes qui permettent à l'opérateur Cloud Network Config Controller d'effectuer les tâches suivantes :

ec2— Lisez, attribuez et décrivez les configurations pour connecter Amazon EC2 des instances, Amazon VPC des sous-réseaux et des interfaces réseau élastiques dans un ROSA cluster.

Pour consulter le document de politique JSON complet, consultez ROSA CloudNetworkConfigOperatorPolicy dans le AWS Managed Policy Reference Guide.

AWS politique gérée : ROSA KubeControllerPolicy

Vous pouvez les joindre ROSAKubeControllerPolicy à vos IAM entités. Vous devez associer cette politique à un rôle IAM d'opérateur pour permettre à un cluster ROSA doté de plans de contrôle hébergés de passer des appels à d'autres Services AWS opérateurs. Un ensemble unique de rôles d'opérateur est requis pour chaque cluster.

Cette politique accorde les autorisations requises au contrôleur Kube pour gérer Amazon EC2 Elastic Load Balancing, et les AWS KMS ressources nécessaires à un cluster ROSA avec plans de contrôle hébergés. Pour plus d'informations sur ce contrôleur, consultez la section Architecture du contrôleur dans la OpenShift documentation.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes qui permettent au contrôleur Kube d'effectuer les tâches suivantes :

ec2— Créez, supprimez et ajoutez des balises aux groupes de sécurité des Amazon EC2 instances. Ajoutez des règles de trafic entrant aux groupes de sécurité. Décrivez les zones de disponibilité, Amazon EC2 les instances, les tables de routage, les groupes de sécurité, les VPC et les sous-réseaux.
elasticloadbalancing— Créez et gérez les équilibreurs de charge et leurs politiques, créez et gérez des écouteurs d'équilibreurs de charge, enregistrez les cibles auprès des groupes cibles et gérez les groupes cibles, enregistrez et désenregistrez les Amazon EC2 instances auprès d'un équilibreur de charge et ajoutez des balises aux équilibreurs de charge.
kms— Récupère des informations détaillées sur une AWS KMS clé. Cela est nécessaire pour l'utilisation de etcd données chiffrées lorsque le etcd chiffrement est activé lors de la création du cluster.

Pour consulter le document de politique JSON complet, consultez ROSA KubeControllerPolicy dans le AWS Managed Policy Reference Guide.

AWS politique gérée : ROSA NodePoolManagementPolicy

Vous pouvez les joindre ROSANodePoolManagementPolicy à vos IAM entités. Vous devez associer cette politique à un rôle IAM d'opérateur pour permettre à un cluster ROSA avec plans de contrôle hébergés de passer des appels vers d'autres AWS services. Un ensemble unique de rôles d'opérateur est requis pour chaque cluster.

Cette politique accorde les autorisations requises au NodePool contrôleur pour décrire, exécuter et mettre fin aux Amazon EC2 instances gérées en tant que nœuds de travail. Cette politique accorde également des autorisations permettant le chiffrement du disque du volume racine du nœud de travail à l'aide de AWS KMS clés. Pour plus d'informations sur ce contrôleur, consultez la section Architecture du contrôleur dans la OpenShift documentation.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes qui permettent au NodePool contrôleur d'effectuer les tâches suivantes :

ec2— Exécutez Amazon EC2 des instances à l'aide d'AMI hébergées par Red Hat et Comptes AWS gérées par Red Hat. Gérez les cycles de vie EC2 dans le cluster. ROSA Créez et intégrez dynamiquement des nœuds de travail avec Elastic Load Balancing Amazon VPC Route 53, Amazon EBS,, et Amazon EC2.
iam— À utiliser Elastic Load Balancing via le rôle lié au service nommé. AWSServiceRoleForElasticLoadBalancing Attribuez des rôles aux profils d' Amazon EC2 instance.
kms— Lisez une AWS KMS clé, créez et gérez les autorisations et Amazon EC2 renvoyez une clé de données symétrique unique à utiliser en dehors de AWS KMS. Cela est nécessaire pour permettre le chiffrement du disque du volume racine du nœud de travail.

Pour consulter le document de politique JSON complet, consultez ROSA NodePoolManagementPolicy dans le AWS Managed Policy Reference Guide.

AWS politique gérée : ROSAKMS ProviderPolicy

Vous pouvez les joindre ROSAKMSProviderPolicy à vos IAM entités. Vous devez associer cette politique à un rôle IAM d'opérateur pour permettre à un cluster ROSA doté de plans de contrôle hébergés de passer des appels à d'autres Services AWS opérateurs. Un ensemble unique de rôles d'opérateur est requis pour chaque cluster.

Cette politique accorde les autorisations requises au fournisseur de AWS chiffrement intégré pour gérer les AWS KMS clés qui prennent en charge le chiffrement etcd des données. Cette politique permet d' Amazon EC2 utiliser les clés KMS fournies par le fournisseur de AWS chiffrement pour chiffrer et déchiffrer etcd les données. Pour plus d'informations sur ce fournisseur, consultez la section Fournisseur de AWS chiffrement dans la documentation de Kubernetes GitHub .

Détails de l’autorisation

Cette politique inclut les autorisations suivantes qui permettent au fournisseur de AWS chiffrement d'effectuer les tâches suivantes :

kms— Chiffrez, déchiffrez et récupérez une AWS KMS clé. Cela est nécessaire pour l'utilisation de etcd données chiffrées lorsque le etcd chiffrement est activé lors de la création du cluster.

Pour consulter le document de politique JSON complet, consultez ROSAKMS ProviderPolicy dans le AWS Managed Policy Reference Guide.

AWS politique gérée : ROSA ControlPlaneOperatorPolicy

Vous pouvez les joindre ROSAControlPlaneOperatorPolicy à vos IAM entités. Vous devez associer cette politique à un rôle IAM d'opérateur pour permettre à un cluster ROSA doté de plans de contrôle hébergés de passer des appels à d'autres Services AWS opérateurs. Un ensemble unique de rôles d'opérateur est requis pour chaque cluster.

Cette politique accorde les autorisations requises à l'opérateur du plan de contrôle pour gérer Amazon EC2 et affecter les Route 53 ressources à ROSA avec des clusters de plans de contrôle hébergés. Pour plus d'informations sur cet opérateur, consultez la section Architecture du contrôleur dans la OpenShift documentation.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes qui permettent à l'opérateur du plan de contrôle d'effectuer les tâches suivantes :

ec2— Créez et gérez des Amazon VPC points de terminaison.
route53— Répertoriez et modifiez les ensembles d' Route 53 enregistrements et listez les zones hébergées.

Pour consulter le document de politique JSON complet, consultez ROSA ControlPlaneOperatorPolicy dans le AWS Managed Policy Reference Guide.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Politiques relatives aux comptes ROSA with HCP

Résolution des problèmes