3.2. Exigences du client
Les clusters dédiés utilisant un modèle d’abonnement au cloud client (CCS) sur Amazon Web Services (AWS) doivent répondre à plusieurs prérequis avant de pouvoir être déployés.
3.2.1. Compte Copier lienLien copié sur presse-papiers!
- Le client veille à ce que les limites AWS soient suffisantes pour prendre en charge OpenShift Dedicated provisionné dans le compte AWS fourni par le client.
Le compte AWS fourni par le client doit être dans l’organisation AWS du client avec la politique de contrôle du service (SCP) applicable.
NoteIl n’est pas nécessaire que le compte fourni par le client soit au sein d’une organisation AWS ou que le SCP soit appliqué, mais Red Hat doit être en mesure d’effectuer toutes les actions énumérées dans le SCP sans restriction.
- Le compte AWS fourni par le client ne doit pas être transférable à Red Hat.
- Le client ne peut pas imposer de restrictions d’utilisation AWS aux activités Red Hat. L’imposition de restrictions entrave gravement la capacité de Red Hat à réagir aux incidents.
- Le Red Hat déploie une surveillance sur AWS pour alerter Red Hat lorsqu’un compte hautement privilégié, tel qu’un compte root, se connecte au compte AWS fourni par le client.
Le client peut déployer des services AWS natifs dans le même compte AWS fourni par le client.
NoteLes clients sont encouragés, mais non mandatés, à déployer des ressources dans un Cloud privé virtuel (VPC) distinct de l’hébergement VPC OpenShift Dedicated et d’autres services pris en charge par Red Hat.
3.2.2. Exigences d’accès Copier lienLien copié sur presse-papiers!
Afin de gérer correctement le service OpenShift Dedicated, Red Hat doit faire appliquer en tout temps la politique AdministratorAccess au rôle d’administrateur.
NoteCette politique fournit uniquement à Red Hat des autorisations et des capacités pour modifier les ressources du compte AWS fourni par le client.
- Le Red Hat doit avoir accès à la console AWS au compte AWS fourni par le client. Cet accès est protégé et géré par Red Hat.
- Le client ne doit pas utiliser le compte AWS pour élever ses autorisations au sein du cluster dédié OpenShift.
- Les actions disponibles dans OpenShift Cluster Manager ne doivent pas être effectuées directement dans le compte AWS fourni par le client.
3.2.3. Besoins de soutien Copier lienLien copié sur presse-papiers!
- Le Red Hat recommande que le client dispose au moins d’un support professionnel d’AWS.
- Le client a l’autorité de Red Hat pour demander un support AWS en son nom.
- Le Red Hat a le pouvoir du client de demander des augmentations de limite de ressources AWS sur le compte fourni par le client.
- Le Red Hat gère les restrictions, limitations, attentes et défaut pour tous les clusters dédiés OpenShift de la même manière, sauf indication contraire dans cette section d’exigences.
3.2.4. Exigences de sécurité Copier lienLien copié sur presse-papiers!
- Les informations d’identification IAM fournies par le client doivent être uniques au compte AWS fourni par le client et ne doivent pas être stockées nulle part dans le compte AWS fourni par le client.
- Les instantanés de volume resteront dans le compte AWS fourni par le client et dans la région spécifiée par le client.
- Le Red Hat doit avoir accès aux hôtes EC2 et au serveur API via des machines Red Hat blanc.
- Le Red Hat doit avoir le droit d’envoyer le système et les journaux d’audit vers une pile de journalisation centrale gérée par Red Hat.