AWS politiche gestite per ROSA con ruoli di account HCP

Nota

Queste politiche AWS gestite sono destinate all'uso da parte di ROSA con piani di controllo ospitati (HCP). I cluster ROSA classic utilizzano politiche IAM gestite dal cliente. Per ulteriori informazioni sulle politiche ROSA classic, consulta ROSA classic account policies e ROSA classic operator policies.

Queste politiche AWS gestite aggiungono le autorizzazioni utilizzate da ROSA con i ruoli IAM dei piani di controllo ospitati (HCP). Le autorizzazioni sono necessarie per il supporto tecnico di Red Hat Site Reliability Engineering (SRE), l'installazione del cluster e il piano di controllo e le funzionalità di calcolo.

AWS politica gestita: ROSA WorkerInstancePolicy

Puoi collegarti ROSAWorkerInstancePolicy alle tue IAM entità. Prima di creare un cluster ROSA con piani di controllo ospitati, è necessario collegare questa policy a un ruolo IAM di lavoro.

Dettagli dell'autorizzazione

Questa politica include le seguenti autorizzazioni che consentono al ROSA servizio di completare le seguenti attività:

• ec2— Rivedi i dettagli Regione AWS e le Amazon EC2 istanze come parte della gestione del ciclo di vita dei nodi di lavoro in un cluster. ROSA

Per visualizzare il documento completo sulla policy JSON, consulta ROSA WorkerInstancePolicy nella AWS Managed Policy Reference Guide.

AWS politica gestita: ROSASRE SupportPolicy

È possibile allegare ROSASRESupportPolicy alle entità IAM.

Prima di creare un cluster ROSA con piani di controllo ospitati, è necessario collegare questa policy a un ruolo IAM di supporto. Questa policy concede le autorizzazioni necessarie ai Red Hat Site Reliability ROSA Engineer (SRE) per osservare, diagnosticare e supportare direttamente AWS le risorse associate ai cluster, inclusa la possibilità di modificare lo stato dei nodi del cluster. ROSA

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni che consentono a Red Hat SRE di completare le seguenti attività:

• cloudtrail— Leggi AWS CloudTrail gli eventi e i percorsi relativi al cluster.

• cloudwatch— Leggi le Amazon CloudWatch metriche relative al cluster.

• ec2— Leggi, descrivi e rivedi Amazon EC2 i componenti relativi allo stato del cluster, come i gruppi di sicurezza, le connessioni degli endpoint VPC e lo stato del volume. Avvia, arresta, riavvia e termina le istanze. Amazon EC2

• elasticloadbalancing— Leggi, descrivi e rivedi Elastic Load Balancing i parametri relativi allo stato del cluster.

• iam— Valuta IAM i ruoli relativi allo stato del cluster.

• route53— Rivedi le impostazioni DNS relative allo stato del cluster.

• sts— DecodeAuthorizationMessage — Leggi IAM i messaggi per scopi di debug.

Per visualizzare il documento completo sulla policy JSON, consulta ROSASRE SupportPolicy nella Managed Policy Reference Guide. AWS

AWS politica gestita: ROSA InstallerPolicy

Puoi collegarti ROSAInstallerPolicy alle tue IAM entità.

Prima di creare un cluster ROSA con piani di controllo ospitati, è necessario collegare questa policy a un ruolo IAM denominato[Prefix]-ROSA-Worker-Role. Questa policy consente alle entità di aggiungere qualsiasi ruolo che segua lo [Prefix]-ROSA-Worker-Role schema a un profilo di istanza. Questa politica concede all'installatore le autorizzazioni necessarie per gestire le AWS risorse che supportano ROSA l'installazione del cluster.

Dettagli dell'autorizzazione

Questa politica include le seguenti autorizzazioni che consentono all'installatore di completare le seguenti attività:

• ec2— Esegui Amazon EC2 istanze utilizzando AMI ospitate in siti di Account AWS proprietà e gestiti da Red Hat. Amazon EC2 Descrivi le istanze, i volumi e le risorse di rete associate ai nodi. Amazon EC2 Ciò è necessario affinché il piano di controllo di Kubernetes possa unire le istanze a un cluster. Ciò è necessario anche per consentire al cluster di valutarne la presenza all'interno. Amazon VPC Tagga le sottoreti utilizzando la corrispondenza delle chiavi dei tag. "kubernetes.io/cluster/*" Ciò è necessario per garantire che il load balancer utilizzato per l'ingresso del cluster venga creato solo nelle sottoreti applicabili.

• elasticloadbalancing— Aggiungere sistemi di bilanciamento del carico ai nodi di destinazione di un cluster. Rimuove i sistemi di bilanciamento del carico dai nodi di destinazione su un cluster. Questa autorizzazione è necessaria affinché il piano di controllo Kubernetes possa fornire dinamicamente i bilanciatori del carico richiesti dai servizi e dai servizi applicativi Kubernetes. OpenShift

• kms— Leggi una AWS KMS chiave, crea e gestisci le concessioni e restituisci una chiave dati simmetrica unica da Amazon EC2 utilizzare all'esterno di. AWS KMS Ciò è necessario per l'uso di etcd dati crittografati quando la etcd crittografia è abilitata al momento della creazione del cluster.

• iam— Convalida i ruoli e le politiche IAM. Fornisci e gestisci dinamicamente i profili di Amazon EC2 istanza pertinenti al cluster. Aggiungi tag a un profilo di istanza IAM utilizzando l'iam:TagInstanceProfileautorizzazione. Fornisci messaggi di errore all'installatore quando l'installazione del cluster non riesce a causa della mancanza di un provider OIDC del cluster specificato dal cliente.

• route53— Gestisci le Route 53 risorse necessarie per creare cluster.

• servicequotas— Valuta le quote di servizio necessarie per creare un cluster.

• sts— Creazione di AWS STS credenziali temporanee per i componenti ROSA . Assumi le credenziali per la creazione del cluster.

• secretsmanager— Leggi un valore segreto per consentire in modo sicuro la configurazione OIDC gestita dal cliente come parte del provisioning del cluster.

Per visualizzare il documento completo sulla policy JSON, consulta ROSA InstallerPolicy nella Managed Policy Reference Guide. AWS