Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kebijakan operator ROSA classic
Bagian ini memberikan rincian tentang kebijakan operator yang diperlukan untuk ROSA classic. Sebelum Anda dapat membuat klaster klasik ROSA, Anda harus terlebih dahulu melampirkan kebijakan ini ke peran operator yang relevan. Satu set peran operator yang unik diperlukan untuk setiap cluster.
Izin ini diperlukan untuk memungkinkan OpenShift operator mengelola node cluster klasik ROSA. Anda dapat menetapkan awalan kustom ke nama kebijakan untuk menyederhanakan pengelolaan kebijakan (misalnya,). ManagedOpenShift-openshift-ingress-operator-cloud-credentials
[Awalan] - openshift-ingress-operator-cloud -credentials
Anda dapat melampirkan [Prefix]-openshift-ingress-operator-cloud-credentials ke entitas IAM Anda. Kebijakan ini memberikan izin yang diperlukan kepada Operator Ingress untuk menyediakan dan mengelola penyeimbang beban dan konfigurasi DNS untuk akses klaster eksternal. Kebijakan ini juga memungkinkan Operator Ingress membaca dan memfilter nilai tag RouteĀ 53 sumber daya untuk menemukan zona yang dihosting. Untuk informasi selengkapnya tentang operator, lihat Operator OpenShift Ingress
Izin yang ditentukan dalam dokumen kebijakan ini menentukan tindakan mana yang diizinkan atau ditolak.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "elasticloadbalancing:DescribeLoadBalancers", "route53:ListHostedZones", "route53:ListTagsForResources", "route53:ChangeResourceRecordSets", "tag:GetResources" ], "Effect": "Allow", "Resource": "*" } ] }
[Awalan] - - openshift-cluster-csi-drivers ebs-cloud-credentials
Anda dapat melampirkan [Prefix]-openshift-cluster-csi-drivers-ebs-cloud-credentials ke entitas IAM Anda. Kebijakan ini memberikan izin yang diperlukan kepada Operator Driver Amazon EBS CSI untuk menginstal dan memelihara driver Amazon EBS CSI pada klaster klasik ROSA. Untuk informasi selengkapnya tentang operator, lihat aws-ebs-csi-driver-operator
Izin yang ditentukan dalam dokumen kebijakan ini menentukan tindakan mana yang diizinkan atau ditolak.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ec2:AttachVolume", "ec2:CreateSnapshot", "ec2:CreateTags", "ec2:CreateVolume", "ec2:DeleteSnapshot", "ec2:DeleteTags", "ec2:DeleteVolume", "ec2:DescribeAvailabilityZones", "ec2:DescribeInstances", "ec2:DescribeSnapshots", "ec2:DescribeTags", "ec2:DescribeVolumes", "ec2:DescribeVolumesModifications", "ec2:DetachVolume", "ec2:EnableFastSnapshotRestores", "ec2:ModifyVolume" ], "Effect": "Allow", "Resource": "*" } ] }
[Awalan] - openshift-machine-api-aws -cloud-credentials
Anda dapat melampirkan [Prefix]-openshift-machine-api-aws-cloud-credentials ke entitas IAM Anda. Kebijakan ini memberikan izin yang diperlukan kepada Operator Machine Config untuk mendeskripsikan, menjalankan, dan menghentikan Amazon EC2 instance yang dikelola sebagai node pekerja. Kebijakan ini juga memberikan izin untuk mengizinkan enkripsi disk dari volume root node pekerja yang digunakan. AWS KMS keys Untuk informasi selengkapnya tentang operator, lihat machine-config-operator
Izin yang ditentukan dalam dokumen kebijakan ini menentukan tindakan mana yang diizinkan atau ditolak.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ec2:CreateTags", "ec2:DescribeAvailabilityZones", "ec2:DescribeDhcpOptions", "ec2:DescribeImages", "ec2:DescribeInstances", "ec2:DescribeInternetGateways", "ec2:DescribeInstanceTypes", "ec2:DescribeSecurityGroups", "ec2:DescribeRegions", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:RunInstances", "ec2:TerminateInstances", "elasticloadbalancing:DescribeLoadBalancers", "elasticloadbalancing:DescribeTargetGroups", "elasticloadbalancing:DescribeTargetHealth", "elasticloadbalancing:RegisterInstancesWithLoadBalancer", "elasticloadbalancing:RegisterTargets", "elasticloadbalancing:DeregisterTargets", "iam:PassRole", "iam:CreateServiceLinkedRole" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlainText", "kms:DescribeKey" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "kms:RevokeGrant", "kms:CreateGrant", "kms:ListGrants" ], "Effect": "Allow", "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }
[Awalan] - openshift-cloud-credential-operator -cloud-credentials
Anda dapat melampirkan [Prefix]-openshift-cloud-credential-operator-cloud-credentials ke entitas IAM Anda. Kebijakan ini memberikan izin yang diperlukan kepada Cloud Credential Operator untuk mengambil Pengguna IAM detail, termasuk ID kunci akses, dokumen kebijakan sebaris yang dilampirkan, tanggal pembuatan pengguna, jalur, ID pengguna, dan Nama Sumber Daya Amazon (ARN). Untuk informasi selengkapnya tentang operator, lihat cloud-credential-operator
Izin yang ditentukan dalam dokumen kebijakan ini menentukan tindakan mana yang diizinkan atau ditolak.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "iam:GetUser", "iam:GetUserPolicy", "iam:ListAccessKeys" ], "Effect": "Allow", "Resource": "*" } ] }
[Awalan] - openshift-image-registry-installer -cloud-credentials
Anda dapat melampirkan [Prefix]-openshift-image-registry-installer-cloud-credentials ke entitas IAM Anda. Kebijakan ini memberikan izin yang diperlukan kepada Operator Registri Gambar untuk menyediakan dan mengelola sumber daya untuk registri gambar dalam klaster ROSA classic dan layanan dependen, termasuk. Amazon S3 Ini diperlukan agar operator dapat menginstal dan memelihara registri internal cluster klasik ROSA. Untuk informasi selengkapnya tentang operator, lihat Image Registry Operator
Izin yang ditentukan dalam dokumen kebijakan ini menentukan tindakan mana yang diizinkan atau ditolak.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:CreateBucket", "s3:DeleteBucket", "s3:PutBucketTagging", "s3:GetBucketTagging", "s3:PutBucketPublicAccessBlock", "s3:GetBucketPublicAccessBlock", "s3:PutEncryptionConfiguration", "s3:GetEncryptionConfiguration", "s3:PutLifecycleConfiguration", "s3:GetLifecycleConfiguration", "s3:GetBucketLocation", "s3:ListBucket", "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:ListBucketMultipartUploads", "s3:AbortMultipartUpload", "s3:ListMultipartUploadParts" ], "Effect": "Allow", "Resource": "*" } ] }
[Awalan] - - openshift-cloud-network-config controller-cloud-cr
Anda dapat melampirkan [Prefix]-openshift-cloud-network-config-controller-cloud-cr ke entitas IAM Anda. Kebijakan ini memberikan izin yang diperlukan kepada Operator Pengontrol Konfigurasi Jaringan Cloud untuk menyediakan dan mengelola sumber daya jaringan untuk digunakan oleh overlay jaringan klaster klasik ROSA. Operator menggunakan izin ini untuk mengelola alamat IP pribadi untuk Amazon EC2 instance sebagai bagian dari cluster klasik ROSA. Untuk informasi selengkapnya tentang operator, lihat C loud-network-config-controller
Izin yang ditentukan dalam dokumen kebijakan ini menentukan tindakan mana yang diizinkan atau ditolak.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ec2:DescribeInstances", "ec2:DescribeInstanceStatus", "ec2:DescribeInstanceTypes", "ec2:UnassignPrivateIpAddresses", "ec2:AssignPrivateIpAddresses", "ec2:UnassignIpv6Addresses", "ec2:AssignIpv6Addresses", "ec2:DescribeSubnets", "ec2:DescribeNetworkInterfaces" ], "Effect": "Allow", "Resource": "*" } ] }
