AWS 受管理的 IAM 政策 ROSA - Red Hat OpenShift Service on AWS
AWS 管理策略:羅莎 ManageSubscriptionAWS 具有 HCP 帳戶角色之 ROSA 的受管理原則AWS 具有 HCP 操作員角色的 ROSA 管理政策ROSAAWS 受管理策略的更新

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS 受管理的 IAM 政策 ROSA

受 AWS 管理的策略是由建立和管理的獨立策略 AWS。 AWS 受管理的策略旨在為許多常見使用案例提供權限,以便您可以開始將權限指派給使用者、群組和角色。

請記住, AWS 受管理的政策可能不會為您的特定使用案例授與最低權限權限,因為這些權限可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策,以便進一步減少許可。

您無法變更受 AWS 管理策略中定義的權限。如果 AWS 更新 AWS 受管理原則中定義的權限,則此更新會影響附加原則的所有主體識別 (使用者、群組和角色)。 AWS 當新的啟動或新 AWS 服務 的 API 操作可用於現有服務時,最有可能更新 AWS 受管理策略。

如需詳細資訊,請參閱 IAM 使用指南中的AWS 受管理策略

AWS 管理策略:羅莎 ManageSubscription

您可以將ROSAManageSubscription原則附加至您的 IAM 實體。在 AWS ROSA 主控台 ROSA 中啟用之前,必須先將此原則附加到主控台角色。

此原則會授予您管理 ROSA 訂閱所需的 AWS Marketplace 權限。

許可詳細資訊

此政策包含以下許可。

  • aws-marketplace:Subscribe-授予訂閱 AWS Marketplace 產品的權限 ROSA。

  • aws-marketplace:Unsubscribe-允許主參與者移除 AWS Marketplace 產品的訂閱。

  • aws-marketplace:ViewSubscriptions-允許主參與者從中 AWS Marketplace檢視訂閱。這是必要的, IAM 主體才能檢視可用的 AWS Marketplace 訂閱。

若要檢視完整的 JSON 政策文件,請參閱《 AWS 受管理原則參考指南》ManageSubscription中的 ROSA

AWS 具有 HCP 帳戶角色之 ROSA 的受管理原則

您可以將這些 AWS 受管政策附加到搭配託管控制平面 (HCP) 使用 ROSA 所需的帳戶角色。Red Hat 網站可靠性工程 (SRE) 支援叢集、叢集建立和運算功能都需要這些權限。

需要下列受管理的策略:

  • ROSA WorkerInstancePolicy — 允許 ROSA 服務管理叢集中的 Amazon EC2 執行個 ROSA 體生命週期。

  • ROSSRE SupportPolicy — 授予 Red Hat 站台可靠性工程師 (SRE) 所需的權限,以直接觀察、診斷及支援叢集相關 AWS 資源,包括變更 ROSA 叢集節點狀態的能力。 ROSA

  • ROSA InstallerPolicy — 授予安裝程式所需的權限,以管理支援叢集安裝的 AWS 資源。

AWS 具有 HCP 操作員角色的 ROSA 管理政策

您可以將這些 AWS 受管政策附加到搭配託管控制平面 (HCP) 使用 ROSA 所需的操作員角色。需要權限才能允許 OpenShift 操作員透過 HCP 叢集節點管理 ROSA。

需要下列受管理的策略:

  • RosaAmazoneBSCSI DriverOperatorPolicy — 授予 Amazon EBS CSI 驅動程式操作員所需的權限,以便在叢集上安裝和維護 CSI 驅動程式。 Amazon EBS ROSA

  • ROSA IngressOperatorPolicy — 授與入口操作員所需的權限,以佈建和管理叢集的負載平衡器和 DNS 組態。 ROSA 該策略允許對標籤值的讀取存取權。然後,操作員會篩選 Route 53 資源的標籤值,以探索託管區域。

  • ROSA ImageRegistryOperatorPolicy — 授與映像登錄操作員所需的權限,以佈建和管理 ROSA 叢集內映像登錄和相依服務 (包括 S3) 的資源。

  • ROSA CloudNetworkConfigOperatorPolicy — 授予雲端網路 Config 控制器操作員所需的權限,以佈建和管理 ROSA 叢集網路覆蓋的網路資源。

  • ROSA KubeControllerPolicy — 授予 kube 控制器所需的權限 Amazon EC2 Elastic Load Balancing,以便管理和託管控制平面集群的 AWS KMS 資源。 ROSA

  • ROSA NodePoolManagementPolicy — 將必要權限授與 NodePool 控制器,以描述、執行和終止以背景工作節點管理的 Amazon EC2 執行個體。此原則也會使用金鑰啟用 Worker 節點根磁碟區的磁碟加 AWS KMS 密。

  • ROSAKMS ProviderPolicy — 授予內建 AWS 加密提供者所需的權限,以管理支援 etcd 資料加密的 AWS KMS 金鑰。此原則允許 Amazon EC2 使用加密提供者提供的 KMS 金鑰來加密和解 AWS 密etcd資料。

  • ROSA ControlPlaneOperatorPolicy — 授予控制平面操作員所需的權限,以便管理 Amazon EC2 託管控制平面叢集的 Route 53 資源。 ROSA

若要檢視受管理的策略權限,請參閱AWS 受管理策略參考指南中的 AWS 受管理策略

ROSAAWS 受管理策略的更新

檢視 ROSA 自此服務開始追蹤這些變更以來的 AWS 受管理策略更新詳細資料。如需有關此頁面變更的自動警示,請訂閱ROSA 文件記錄頁面上的 RSS 摘要。

變更 描述 日期

羅莎 NodePoolManagementPolicy -政策更新

ROSA 已更新原則,以允許 ROSA 節點集區管理員描述 DHCP 選項集,以便設定適當的私人 DNS 名稱。若要深入瞭解,請參閱 ROSA NodePoolManagementPolicy

2024年5月2日

羅莎 InstallerPolicy -政策更新

ROSA 已更新原則,允許 ROSA 安裝程式使用標籤金鑰比對"kubernetes.io/cluster/*"將標籤新增至子網路。若要深入瞭解,請參閱 ROSA InstallerPolicy

2024年4月24日

羅薩瑞 SupportPolicy — 政策更新

ROSA 已更新原則,以允許 SRE 角色擷取已標記 ROSA 為red-hat-managed的執行個體設定檔相關資訊。要了解更多信息,請參閱 ROSSRE SupportPolicy

2024年4月10日

羅莎 InstallerPolicy -政策更新

ROSA 已更新原則,以允許 ROSA 安裝程式驗證的 AWS 受管理原則 ROSA 是否已附加至使用的 IAM 角色 ROSA。此更新也可讓安裝程式識別是否已將客戶管理的政策附加至 ROSA 角色。若要深入瞭解,請參閱 ROSA InstallerPolicy

2024年4月10日

羅莎 InstallerPolicy -政策更新

ROSA 已更新原則,以允許服務在因缺少客戶指定的叢集 OIDC 提供者而導致叢集安裝失敗時提供安裝程式警示訊息。此更新也可讓服務擷取現有的 DNS 名稱伺服器,以便叢集佈建作業具有冪等性。若要深入瞭解,請參閱 ROSA InstallerPolicy

2024年1月26日

羅薩瑞 SupportPolicy — 政策更新

ROSA 已更新原則,以允許服務使用 DescribeSecurityGroups API 對安全群組執行讀取作業。要了解更多信息,請參閱 ROSSRE SupportPolicy

2024年1月22日

羅莎 ImageRegistryOperatorPolicy -政策更新

ROSA 已更新原則,以允許映像登錄操作員對具有 14 個字元名稱的區域中的 Amazon S3 值區採取動作。若要深入瞭解,請參閱 ROSA ImageRegistryOperatorPolicy

2023 年 12 月 12 日

羅莎 KubeControllerPolicy -政策更新

ROSA 已更新原則,以允許說明可用區域、 Amazon EC2 執行個體、路由表、安全群組、VPC 和子網路。 kube-controller-manager 若要深入瞭解,請參閱 ROSA KubeControllerPolicy

2023 年 10 月 16 日

羅莎 ManageSubscription -政策更新

ROSA 更新原則以使用託管控制平面新增 ROSA ProductId。若要深入瞭解,請參閱 ROSA ManageSubscription

2023 年 8 月 1 日

羅莎 KubeControllerPolicy -政策更新

ROSA 已更新原則,以允許將網路負載平衡器建立為 Kubernetes 服務負載平衡器。 kube-controller-manager 網路負載平衡器提供更強大的處理揮發性工作負載的能力,並支援負載平衡器的靜態 IP 位址。若要深入瞭解,請參閱 ROSA KubeControllerPolicy

2023 年 7 月 13 日

羅莎 NodePoolManagementPolicy -添加了新的政策

ROSA 新增了一個新的政策,允許 NodePool 控制器描述、執行和終止作為工作節點管理的 Amazon EC2 執行個體。此原則也會使用金鑰啟用 Worker 節點根磁碟區的磁碟加 AWS KMS 密。若要深入瞭解,請參閱 ROSA NodePoolManagementPolicy

2023 年 6 月 8 日

羅莎 InstallerPolicy -添加了新的政策

ROSA 增加了一個新的策略,以允許安裝程序管理支持集群安裝的 AWS 資源。若要深入瞭解,請參閱 ROSA InstallerPolicy

2023 年 6 月 6 日

羅薩瑞 SupportPolicy -添加了新政策

ROSA 新增了一項新政策,讓 Red Hat SRE 能夠直接觀察、診斷並支援與 ROSA 叢集相關的 AWS 資源,包括變更 ROSA 叢集節點狀態的能力。要了解更多信息,請參閱 ROSSRE SupportPolicy

2023 年 6 月 1 日

羅薩克姆斯 ProviderPolicy -添加了新的策略

ROSA 已新增新原則,以允許內建的 AWS 加密提供者管理 AWS KMS 金鑰以支援 etcd 資料加密。要了解更多信息,請參閱 ROSAKMS ProviderPolicy

2023 年 4 月 27 日

羅莎 KubeControllerPolicy -添加了新的政策

ROSA 增加了一個新的策略,允許 kube 控制器管理 Amazon EC2 Elastic Load Balancing,並 ROSA 與託管控制平面集群的 AWS KMS 資源。若要深入瞭解,請參閱 ROSA KubeControllerPolicy

2023 年 4 月 27 日

羅莎 ImageRegistryOperatorPolicy -添加了新的政策

ROSA 新增政策以允許映像登錄操作員佈建和管理 ROSA 叢集內映像登錄和相依服務 (包括 S3) 的資源。若要深入瞭解,請參閱 ROSA ImageRegistryOperatorPolicy

2023 年 4 月 27 日

羅莎 ControlPlaneOperatorPolicy -添加了新的政策

ROSA 已新增新原則,以允許控制平面操作員管 Amazon EC2 理託管控制平面叢集的 Route 53 資源。 ROSA 若要深入瞭解,請參閱 ROSA ControlPlaneOperatorPolicy

2023 年 4 月 24 日

羅莎 CloudNetworkConfigOperatorPolicy -添加了新的政策

ROSA 新增政策,允許雲端網路 Config 控制器操作員為 ROSA 叢集網路覆蓋佈建和管理網路資源。若要深入瞭解,請參閱 ROSA CloudNetworkConfigOperatorPolicy

2023 年 4 月 20 日

羅莎 IngressOperatorPolicy -添加了新的政策

ROSA 已新增新原則,以允許 Ingress 操作員佈建和管理叢集的負載平衡器和 DNS 組態。 ROSA 若要深入瞭解,請參閱 ROSA IngressOperatorPolicy

2023 年 4 月 20 日

羅莎亞馬遜 BSCSI — 添加了新DriverOperatorPolicy 政策

ROSA 增加了一個新的策略,以允許 Amazon EBS CSI 驅動程序操作員在 ROSA 集群上安裝和維護 Amazon EBS CSI 驅動程序。若要深入瞭解,請參閱羅莎亞馬遜 BSCSI DriverOperatorPolicy

2023 年 4 月 20 日

羅莎 WorkerInstancePolicy -添加了新的政策

ROSA 新增政策以允許服務管理叢集資源。若要深入瞭解,請參閱 ROSA WorkerInstancePolicy

2023 年 4 月 20 日

羅莎 ManageSubscription -添加了新的政策

ROSA 已新增政策,以授與管理 ROSA 訂閱所需的 AWS Marketplace 權限。若要深入瞭解,請參閱 ROSA ManageSubscription

2022 年 4 月 11 日

Red Hat OpenShift Service on AWS 開始追蹤變更

Red Hat OpenShift Service on AWS 開始追蹤其 AWS 受管理策略的變更。

2022 年 3 月 2 日