Red Hat SummitChapitre 3. AWS STS et ROSA avec HCP expliqués
Le service OpenShift Red Hat sur AWS (ROSA) avec des plans de contrôle hébergés (HCP) utilise un service de jetons de sécurité AWS (Amazon Web Services) pour AWS Identity Access Management (IAM) pour obtenir les informations d’identification nécessaires pour interagir avec les ressources de votre compte AWS.
3.1. AWS STS méthode d’identification
Dans le cadre de ROSA avec HCP, Red Hat doit obtenir les autorisations nécessaires pour gérer les ressources d’infrastructure dans votre compte AWS. Avec HCP, ROSA accorde aux logiciels d’automatisation du cluster un accès limité et à court terme aux ressources de votre compte AWS.
La méthode STS utilise des rôles et des politiques prédéfinis pour accorder des autorisations temporaires et moins privilégiées aux rôles IAM. Les informations d’identification expirent généralement une heure après avoir été demandées. Lorsqu’ils ont expiré, ils ne sont plus reconnus par AWS et n’ont plus accès au compte à partir des demandes d’API faites avec eux. Consultez la documentation AWS pour plus d’informations.
Les rôles AWS IAM STS doivent être créés pour chaque ROSA avec le cluster HCP. L’interface de ligne de commande ROSA (CLI) (rosa) gère les rôles STS et vous aide à joindre les stratégies spécifiques de ROSA gérées par AWS à chaque rôle. Le CLI fournit les commandes et les fichiers pour créer les rôles, joindre les stratégies gérées par AWS, et une option pour permettre au CLI de créer automatiquement les rôles et de joindre les stratégies.
