AWS kebijakan terkelola untuk ROSA dengan peran akun HCP - Layanan OpenShift Red Hat di AWS
AWS kebijakan terkelola: ROSA WorkerInstancePolicyAWS kebijakan terkelola: ROSASRE SupportPolicyAWS kebijakan terkelola: ROSA InstallerPolicy

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS kebijakan terkelola untuk ROSA dengan peran akun HCP

catatan

Kebijakan AWS terkelola ini dimaksudkan untuk digunakan oleh ROSA dengan pesawat kontrol yang dihosting (HCP). Kluster klasik ROSA menggunakan kebijakan IAM yang dikelola pelanggan. Untuk informasi selengkapnya tentang kebijakan klasik ROSA, lihat Kebijakan akun klasik ROSA dan kebijakan operator klasik ROSA.

Kebijakan AWS terkelola ini menambahkan izin yang digunakan oleh ROSA dengan peran IAM pesawat kontrol yang dihosting (HCP). Izin diperlukan untuk dukungan teknis rekayasa keandalan situs Red Hat (SRE), instalasi cluster, dan bidang kontrol dan fungsionalitas komputasi.

AWS kebijakan terkelola: ROSA WorkerInstancePolicy

Anda dapat melampirkan ROSAWorkerInstancePolicy ke IAM entitas Anda. Sebelum membuat ROSA dengan cluster control plane yang dihosting, Anda harus terlebih dahulu melampirkan kebijakan ini ke peran IAM pekerja.

Detail izin

Kebijakan ini mencakup izin berikut yang memungkinkan ROSA layanan menyelesaikan tugas-tugas berikut:

  • ec2— Tinjau Wilayah AWS dan detail Amazon EC2 instance sebagai bagian dari manajemen siklus hidup node pekerja dalam sebuah ROSA cluster.

Untuk melihat dokumen kebijakan JSON lengkap, lihat ROSA WorkerInstancePolicy di Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: ROSASRE SupportPolicy

Anda dapat melampirkan ROSASRESupportPolicy ke entitas IAM Anda.

Sebelum membuat ROSA dengan cluster control plane yang dihosting, Anda harus terlebih dahulu melampirkan kebijakan ini ke peran IAM dukungan. Kebijakan ini memberikan izin yang diperlukan kepada teknisi keandalan situs Red Hat (SRE) untuk secara langsung mengamati, mendiagnosis, dan mendukung AWS sumber daya yang terkait dengan ROSA cluster, termasuk kemampuan untuk mengubah ROSA status node cluster.

Detail izin

Kebijakan ini mencakup izin berikut yang memungkinkan Red Hat SRE untuk menyelesaikan tugas-tugas berikut:

  • cloudtrail— Baca AWS CloudTrail acara dan jejak yang relevan dengan cluster.

  • cloudwatch— Baca Amazon CloudWatch metrik yang relevan dengan cluster.

  • ec2Baca, jelaskan, dan tinjau Amazon EC2 komponen yang terkait dengan kesehatan klaster seperti grup keamanan, koneksi titik akhir VPC, dan status volume. Luncurkan, hentikan, reboot, dan akhiri Amazon EC2 instance.

  • elasticloadbalancing— Baca, jelaskan, dan tinjau Elastic Load Balancing parameter yang terkait dengan kesehatan cluster.

  • iam— Mengevaluasi IAM peran yang berhubungan dengan kesehatan cluster.

  • route53— Tinjau pengaturan DNS yang terkait dengan kesehatan cluster.

  • stsDecodeAuthorizationMessage — Baca IAM pesan untuk tujuan debugging.

Untuk melihat dokumen kebijakan JSON lengkap, lihat ROSASRE SupportPolicy di Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: ROSA InstallerPolicy

Anda dapat melampirkan ROSAInstallerPolicy ke IAM entitas Anda.

Sebelum membuat ROSA dengan cluster control plane yang dihosting, Anda harus terlebih dahulu melampirkan kebijakan ini ke peran IAM yang diberi nama. [Prefix]-ROSA-Worker-Role Kebijakan ini memungkinkan entitas untuk menambahkan peran apa pun yang mengikuti [Prefix]-ROSA-Worker-Role pola ke profil instance. Kebijakan ini memberikan izin yang diperlukan kepada penginstal untuk mengelola AWS sumber daya yang mendukung ROSA penginstalan klaster.

Detail izin

Kebijakan ini mencakup izin berikut yang memungkinkan penginstal menyelesaikan tugas-tugas berikut:

  • ec2— Jalankan Amazon EC2 instance menggunakan AMI yang dihosting di Akun AWS dimiliki dan dikelola oleh Red Hat. Jelaskan Amazon EC2 contoh, volume, dan sumber daya jaringan yang terkait dengan Amazon EC2 node. Hal ini diperlukan agar control plane Kubernetes dapat menggabungkan instance ke sebuah cluster. Ini juga diperlukan agar cluster dapat mengevaluasi keberadaannya di dalamnya Amazon VPC. Tandai subnet menggunakan pencocokan "kubernetes.io/cluster/*" tombol tag. Hal ini diperlukan untuk memastikan bahwa penyeimbang beban yang digunakan untuk masuknya cluster hanya dibuat di subnet yang berlaku.

  • elasticloadbalancing— Tambahkan penyeimbang beban ke node target pada cluster. Hapus penyeimbang beban dari node target pada cluster. Izin ini diperlukan agar control plane Kubernetes dapat secara dinamis menyediakan load balancer yang diminta oleh layanan Kubernetes dan layanan aplikasi. OpenShift

  • kms— Baca AWS KMS kunci, buat dan kelola hibah Amazon EC2, dan kembalikan kunci data simetris unik untuk digunakan di luar. AWS KMS Ini diperlukan untuk penggunaan etcd data terenkripsi saat etcd enkripsi diaktifkan pada pembuatan cluster.

  • iam— Validasi peran dan kebijakan IAM. Menyediakan dan mengelola profil Amazon EC2 instans yang relevan dengan cluster secara dinamis. Tambahkan tag ke profil instans IAM dengan menggunakan iam:TagInstanceProfile izin. Berikan pesan kesalahan penginstal saat penginstalan klaster gagal karena penyedia OIDC cluster yang ditentukan pelanggan tidak ada.

  • route53— Mengelola Route 53 sumber daya yang dibutuhkan untuk membuat cluster.

  • servicequotas— Evaluasi kuota layanan yang diperlukan untuk membuat cluster.

  • sts— Buat AWS STS kredensyal sementara untuk ROSA komponen. Asumsikan kredensyal untuk pembuatan cluster.

  • secretsmanager— Baca nilai rahasia untuk mengizinkan konfigurasi OIDC yang dikelola pelanggan dengan aman sebagai bagian dari penyediaan klaster.

Untuk melihat dokumen kebijakan JSON lengkap, lihat ROSA InstallerPolicy di Panduan Referensi Kebijakan AWS Terkelola.