Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
ROSApolitiche classiche degli operatori
Questa sezione fornisce dettagli sulle politiche degli operatori necessarie per la ROSA versione classica. Prima di poter creare un cluster ROSA classico, è necessario collegare queste politiche ai ruoli di operatore pertinenti. È richiesto un set unico di ruoli operatore per ogni cluster.
Queste autorizzazioni sono necessarie per consentire agli OpenShift operatori di gestire i ROSA classici nodi del cluster. È possibile assegnare un prefisso personalizzato ai nomi delle politiche per semplificare la gestione delle politiche (ad esempio,). ManagedOpenShift-openshift-ingress-operator-cloud-credentials
[Prefisso] - -credenziali openshift-ingress-operator-cloud
Puoi collegarti alle tue entità[Prefix]-openshift-ingress-operator-cloud-credentials. IAM Questa politica concede le autorizzazioni necessarie all'Ingress Operator per fornire e gestire i sistemi di bilanciamento del carico e le DNS configurazioni per l'accesso al cluster esterno. La policy consente inoltre all'Ingress Operator di leggere e filtrare i valori dei tag Route 53 delle risorse per scoprire le zone ospitate. Per ulteriori informazioni sull'operatore, consulta OpenShift Ingress Operator
Le autorizzazioni definite in questo documento di policy specificano quali azioni sono consentite o negate.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "elasticloadbalancing:DescribeLoadBalancers", "route53:ListHostedZones", "route53:ListTagsForResources", "route53:ChangeResourceRecordSets", "tag:GetResources" ], "Effect": "Allow", "Resource": "*" } ] }
[Prefisso] - - openshift-cluster-csi-drivers ebs-cloud-credentials
Puoi collegarti [Prefix]-openshift-cluster-csi-drivers-ebs-cloud-credentials alle tue IAM entità. Questa politica concede le autorizzazioni necessarie al Amazon EBS CSI Driver Operator per installare e gestire il Amazon EBS CSI driver su un cluster ROSA classico. Per ulteriori informazioni sull'operatore, vedere aws-ebs-csi-driver-operator nella documentazione
Le autorizzazioni definite in questo documento di policy specificano quali azioni sono consentite o negate.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ec2:AttachVolume", "ec2:CreateSnapshot", "ec2:CreateTags", "ec2:CreateVolume", "ec2:DeleteSnapshot", "ec2:DeleteTags", "ec2:DeleteVolume", "ec2:DescribeAvailabilityZones", "ec2:DescribeInstances", "ec2:DescribeSnapshots", "ec2:DescribeTags", "ec2:DescribeVolumes", "ec2:DescribeVolumesModifications", "ec2:DetachVolume", "ec2:EnableFastSnapshotRestores", "ec2:ModifyVolume" ], "Effect": "Allow", "Resource": "*" } ] }
[Prefisso] - -cloud-credentials openshift-machine-api-aws
Puoi collegarti alle tue entità. [Prefix]-openshift-machine-api-aws-cloud-credentials IAM Questa politica concede le autorizzazioni necessarie all'operatore Machine Config per descrivere, eseguire e terminare le Amazon EC2 istanze gestite come nodi di lavoro. Questa politica concede inoltre le autorizzazioni per consentire la crittografia del disco del volume root del nodo di lavoro utilizzato. AWS KMS keys Per ulteriori informazioni sull'operatore, consulta la machine-config-operator
Le autorizzazioni definite in questo documento di policy specificano quali azioni sono consentite o negate.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ec2:CreateTags", "ec2:DescribeAvailabilityZones", "ec2:DescribeDhcpOptions", "ec2:DescribeImages", "ec2:DescribeInstances", "ec2:DescribeInternetGateways", "ec2:DescribeInstanceTypes", "ec2:DescribeSecurityGroups", "ec2:DescribeRegions", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:RunInstances", "ec2:TerminateInstances", "elasticloadbalancing:DescribeLoadBalancers", "elasticloadbalancing:DescribeTargetGroups", "elasticloadbalancing:DescribeTargetHealth", "elasticloadbalancing:RegisterInstancesWithLoadBalancer", "elasticloadbalancing:RegisterTargets", "elasticloadbalancing:DeregisterTargets", "iam:PassRole", "iam:CreateServiceLinkedRole" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlainText", "kms:DescribeKey" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "kms:RevokeGrant", "kms:CreateGrant", "kms:ListGrants" ], "Effect": "Allow", "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }
[Prefisso] - -cloud-credentials openshift-cloud-credential-operator
Puoi collegarti alle tue entità. [Prefix]-openshift-cloud-credential-operator-cloud-credentials IAM Questa policy concede le autorizzazioni necessarie al Cloud Credential Operator per recuperare Utente IAM i dettagli, tra cui la chiave di accesso, i documenti di policy in linea allegatiIDs, la data di creazione dell'utente, il percorso, l'ID utente e Amazon Resource Name (). ARN Per ulteriori informazioni sull'operatore, consulta la documentazione. cloud-credential-operator
Le autorizzazioni definite in questo documento di policy specificano quali azioni sono consentite o negate.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "iam:GetUser", "iam:GetUserPolicy", "iam:ListAccessKeys" ], "Effect": "Allow", "Resource": "*" } ] }
[Prefisso] - -cloud-credentials openshift-image-registry-installer
Puoi collegarti alle tue entità. [Prefix]-openshift-image-registry-installer-cloud-credentials IAM Questa politica concede le autorizzazioni necessarie all'Image Registry Operator per fornire e gestire le risorse per il registro di immagini interno al cluster della ROSA versione classica e per i servizi dipendenti, tra cui. Amazon S3 Ciò è necessario per consentire all'operatore di installare e gestire il registro interno di un ROSA cluster classico. Per ulteriori informazioni sull'operatore, vedere Image Registry Operator
Le autorizzazioni definite in questo documento di policy specificano quali azioni sono consentite o negate.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:CreateBucket", "s3:DeleteBucket", "s3:PutBucketTagging", "s3:GetBucketTagging", "s3:PutBucketPublicAccessBlock", "s3:GetBucketPublicAccessBlock", "s3:PutEncryptionConfiguration", "s3:GetEncryptionConfiguration", "s3:PutLifecycleConfiguration", "s3:GetLifecycleConfiguration", "s3:GetBucketLocation", "s3:ListBucket", "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:ListBucketMultipartUploads", "s3:AbortMultipartUpload", "s3:ListMultipartUploadParts" ], "Effect": "Allow", "Resource": "*" } ] }
[Prefisso] - - openshift-cloud-network-config controller-cloud-cr
Puoi collegarti [Prefix]-openshift-cloud-network-config-controller-cloud-cr alle tue IAM entità. Questa politica concede le autorizzazioni necessarie all'operatore del controller di Cloud Network Config per fornire e gestire le risorse di rete da utilizzare con il ROSA classico overlay di rete del cluster. L'operatore utilizza queste autorizzazioni per gestire gli indirizzi IP privati per le Amazon EC2 istanze come parte del cluster classico. ROSA Per ulteriori informazioni sull'operatore, vedere C loud-network-config-controller
Le autorizzazioni definite in questo documento di policy specificano quali azioni sono consentite o negate.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ec2:DescribeInstances", "ec2:DescribeInstanceStatus", "ec2:DescribeInstanceTypes", "ec2:UnassignPrivateIpAddresses", "ec2:AssignPrivateIpAddresses", "ec2:UnassignIpv6Addresses", "ec2:AssignIpv6Addresses", "ec2:DescribeSubnets", "ec2:DescribeNetworkInterfaces" ], "Effect": "Allow", "Resource": "*" } ] }
