Red Hat Summit Red Hat SummitSupportConsoleDéveloppeursCommencer un essaiContact

8.5. Le moins d’autorisations de privilège pour les commandes ROSA CLI

Il est possible de créer des rôles avec des autorisations qui adhèrent au principe du moindre privilège, dans lequel les utilisateurs qui leur ont attribué les rôles n’ont pas d’autres autorisations qui leur sont assignées en dehors de la portée de l’action spécifique qu’ils doivent effectuer. Ces stratégies ne contiennent que les autorisations minimales requises pour effectuer des actions spécifiques en utilisant l’interface de ligne de commande (CLI) de Red Hat OpenShift Service sur AWS (ROSA).

Important

Bien que les politiques et les commandes présentées dans ce sujet fonctionnent en conjonction, vous pourriez avoir d’autres restrictions au sein de votre environnement AWS qui rendent les politiques de ces commandes insuffisantes pour vos besoins spécifiques. Le Red Hat fournit ces exemples comme base de référence, en supposant qu’aucune autre restriction AWS Identity and Access Management (IAM) n’est présente.

Consultez AWS Identity and Access Management dans la documentation AWS pour plus d’informations sur la configuration des autorisations, des stratégies et des rôles dans la console AWS.

Les autorisations minimales suivantes pour les commandes ROSA CLI listées s’appliquent aux clusters HCP (HCP) et Classic.

8.5.1.1. Créer un fournisseur géré OpenID Connect (OIDC)
Copier lien

Exécutez la commande suivante avec les autorisations spécifiées pour créer votre fournisseur OIDC géré en utilisant le mode automatique.

Entrée

$ rosa create oidc-config --mode auto
Copy to Clipboard Toggle word wrap

La politique

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateOidcConfig",
            "Effect": "Allow",
            "Action": [
                "iam:TagOpenIDConnectProvider",
                "iam:CreateOpenIDConnectProvider"
            ],
            "Resource": "*"
        }
    ]
}
Copy to Clipboard Toggle word wrap

8.5.1.2. Créer un fournisseur OpenID Connect non géré
Copier lien

Exécutez la commande suivante avec les autorisations spécifiées pour créer votre fournisseur OIDC non géré en utilisant le mode automatique.

Entrée

$ rosa create oidc-config --mode auto --managed=false
Copy to Clipboard Toggle word wrap

La politique

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:TagOpenIDConnectProvider",
                "iam:ListRoleTags",
                "iam:ListRoles",
                "iam:CreateOpenIDConnectProvider",
                "s3:CreateBucket",
                "s3:PutObject",
                "s3:PutBucketTagging",
                "s3:PutBucketPolicy",
                "s3:PutObjectTagging",
                "s3:PutBucketPublicAccessBlock",
                "secretsmanager:CreateSecret",
                "secretsmanager:TagResource"
            ],
            "Resource": "*"
        }
    ]
}
Copy to Clipboard Toggle word wrap

8.5.1.3. Liste des rôles de votre compte
Copier lien

Exécutez la commande suivante avec les autorisations spécifiées pour répertorier les rôles de votre compte.

Entrée

$ rosa list account-roles
Copy to Clipboard Toggle word wrap

La politique

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ListAccountRoles",
            "Effect": "Allow",
            "Action": [
                "iam:ListRoleTags",
                "iam:ListRoles"
            ],
            "Resource": "*"
        }
    ]
}
Copy to Clipboard Toggle word wrap

8.5.1.4. Liste de vos rôles d’opérateur
Copier lien

Exécutez la commande suivante avec les autorisations spécifiées pour répertorier vos rôles d’opérateur.

Entrée

$ rosa list operator-roles
Copy to Clipboard Toggle word wrap

La politique

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ListOperatorRoles",
            "Effect": "Allow",
            "Action": [
                "iam:ListRoleTags",
                "iam:ListAttachedRolePolicies",
                "iam:ListRoles",
                "iam:ListPolicyTags"
            ],
            "Resource": "*"
        }
    ]
}
Copy to Clipboard Toggle word wrap

8.5.1.5. Liste de vos fournisseurs OIDC
Copier lien

Exécutez la commande suivante avec les autorisations spécifiées pour répertorier vos fournisseurs OIDC.

Entrée

$ rosa list oidc-providers
Copy to Clipboard Toggle word wrap

La politique

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ListOidcProviders",
            "Effect": "Allow",
            "Action": [
                "iam:ListOpenIDConnectProviders",
                "iam:ListOpenIDConnectProviderTags"
            ],
            "Resource": "*"
        }
    ]
}
Copy to Clipboard Toggle word wrap

8.5.1.6. Contrôlez votre quota
Copier lien

Exécutez la commande suivante avec les autorisations spécifiées pour vérifier votre quota.

Entrée

$ rosa verify quota
Copy to Clipboard Toggle word wrap

La politique

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VerifyQuota",
            "Effect": "Allow",
            "Action": [
                "elasticloadbalancing:DescribeAccountLimits",
                "servicequotas:ListServiceQuotas"
            ],
            "Resource": "*"
        }
    ]
}
Copy to Clipboard Toggle word wrap

8.5.1.7. Supprimez votre configuration OIDC gérée
Copier lien

Exécutez la commande suivante avec les autorisations spécifiées pour supprimer votre configuration OIDC gérée en utilisant le mode automatique.

Entrée

$ rosa delete oidc-config -–mode auto
Copy to Clipboard Toggle word wrap

La politique

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DeleteOidcConfig",
            "Effect": "Allow",
            "Action": [
                "iam:ListOpenIDConnectProviders",
                "iam:DeleteOpenIDConnectProvider"
            ],
            "Resource": "*"
        }
    ]
}
Copy to Clipboard Toggle word wrap

8.5.1.8. Effacer votre configuration OIDC non gérée
Copier lien

Exécutez la commande suivante avec les autorisations spécifiées pour supprimer votre configuration OIDC non gérée en utilisant le mode automatique.

Entrée

$ rosa delete oidc-config -–mode auto
Copy to Clipboard Toggle word wrap

La politique

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "iam:ListOpenIDConnectProviders",
                "iam:DeleteOpenIDConnectProvider",
                "secretsmanager:DeleteSecret",
                "s3:ListBucket",
                "s3:DeleteObject",
                "s3:DeleteBucket"
            ],
            "Resource": "*"
        }
    ]
}
Copy to Clipboard Toggle word wrap

Les exemples suivants montrent les autorisations de privilèges les moins nécessaires pour les commandes ROSA CLI les plus courantes lors de la construction de ROSA avec des clusters de plans de contrôle hébergés (HCP).

8.5.2.1. Créer un cluster
Copier lien

Exécutez la commande suivante avec les autorisations spécifiées pour créer ROSA avec des clusters HCP.

Entrée

$ rosa create cluster --hosted-cp
Copy to Clipboard Toggle word wrap

La politique

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateCluster",
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:ListRoleTags",
                "iam:ListAttachedRolePolicies",
                "iam:ListRoles",
                "ec2:DescribeSubnets",
                "ec2:DescribeRouteTables",
                "ec2:DescribeAvailabilityZones"
            ],
            "Resource": "*"
        }
    ]
}
Copy to Clipboard Toggle word wrap

Exécutez la commande suivante avec les autorisations spécifiées pour créer des rôles de compte et d’opérateur en utilisant le mode automatique.

Entrée

$ rosa create account-roles --mode auto --hosted-cp
Copy to Clipboard Toggle word wrap

La politique

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateAccountRoles",
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:UpdateAssumeRolePolicy",
                "iam:ListRoleTags",
                "iam:GetPolicy",
                "iam:TagRole",
                "iam:ListRoles",
                "iam:CreateRole",
                "iam:AttachRolePolicy",
                "iam:ListPolicyTags"
            ],
            "Resource": "*"
        }
    ]
}
Copy to Clipboard Toggle word wrap

8.5.2.3. Effacer les rôles de votre compte
Copier lien

Exécutez la commande suivante avec les autorisations spécifiées pour supprimer les rôles de compte en mode automatique.

Entrée

$ rosa delete account-roles -–mode auto
Copy to Clipboard Toggle word wrap

La politique

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DeleteAccountRoles",
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:ListInstanceProfilesForRole",
                "iam:DetachRolePolicy",
                "iam:ListAttachedRolePolicies",
                "iam:ListRoles",
                "iam:DeleteRole",
                "iam:ListRolePolicies"
            ],
            "Resource": "*"
        }
    ]
}
Copy to Clipboard Toggle word wrap

8.5.2.4. Supprimez vos rôles d’opérateur
Copier lien

Exécutez la commande suivante avec les autorisations spécifiées pour supprimer vos rôles d’opérateur en mode automatique.

Entrée

$ rosa delete operator-roles -–mode auto
Copy to Clipboard Toggle word wrap

La politique

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DeleteOperatorRoles",
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:DetachRolePolicy",
                "iam:ListAttachedRolePolicies",
                "iam:ListRoles",
                "iam:DeleteRole"
            ],
            "Resource": "*"
        }
    ]
}
Copy to Clipboard Toggle word wrap

Les exemples suivants montrent les autorisations de privilèges les moins nécessaires pour les commandes ROSA CLI les plus courantes lors de la construction de clusters ROSA Classic.

8.5.3.1. Créer un cluster
Copier lien

Exécutez la commande suivante avec les autorisations spécifiées pour créer un cluster ROSA Classic avec le moins d’autorisations de privilège.

Entrée

$ rosa create cluster
Copy to Clipboard Toggle word wrap

La politique

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateCluster",
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:ListRoleTags",
                "iam:ListRoles"
            ],
            "Resource": "*"
        }
    ]
}
Copy to Clipboard Toggle word wrap

Exécutez la commande suivante avec les autorisations spécifiées pour créer des rôles de compte et d’opérateur en mode 'auto'.

Entrée

$ rosa create account-roles --mode auto --classic
Copy to Clipboard Toggle word wrap

La politique

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateAccountOperatorRoles",
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:UpdateAssumeRolePolicy",
                "iam:ListRoleTags",
                "iam:GetPolicy",
                "iam:TagRole",
                "iam:ListRoles",
                "iam:CreateRole",
                "iam:AttachRolePolicy",
                "iam:TagPolicy",
                "iam:CreatePolicy",
                "iam:ListPolicyTags"
            ],
            "Resource": "*"
        }
    ]
}
Copy to Clipboard Toggle word wrap

8.5.3.3. Effacer les rôles de votre compte
Copier lien

Exécutez la commande suivante avec les autorisations spécifiées pour supprimer les rôles de compte en mode automatique.

Entrée

$ rosa delete account-roles -–mode auto
Copy to Clipboard Toggle word wrap

La politique

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:ListInstanceProfilesForRole",
                "iam:DetachRolePolicy",
                "iam:ListAttachedRolePolicies",
                "iam:ListRoles",
                "iam:DeleteRole",
                "iam:ListRolePolicies",
                "iam:GetPolicy",
                "iam:ListPolicyVersions",
                "iam:DeletePolicy"
            ],
            "Resource": "*"
        }
    ]
}
Copy to Clipboard Toggle word wrap

8.5.3.4. Supprimez vos rôles d’opérateur
Copier lien

Exécutez la commande suivante avec les autorisations spécifiées pour supprimer les rôles Opérateur en mode automatique.

Entrée

$ rosa delete operator-roles -–mode auto
Copy to Clipboard Toggle word wrap

La politique

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:ListInstanceProfilesForRole",
                "iam:DetachRolePolicy",
                "iam:ListAttachedRolePolicies",
                "iam:ListRoles",
                "iam:DeleteRole",
                "iam:ListRolePolicies",
                "iam:GetPolicy",
                "iam:ListPolicyVersions",
                "iam:DeletePolicy"
            ],
            "Resource": "*"
        }
    ]
}
Copy to Clipboard Toggle word wrap

8.5.4. Commandes ROSA CLI sans autorisation requise
Copier lien

Les commandes ROSA CLI suivantes ne nécessitent pas d’autorisations ou de stratégies pour s’exécuter. Au lieu de cela, ils nécessitent une clé d’accès et une clé secrète configurée ou un rôle joint.

Expand
Tableau 8.112. Commandes
CommandeEntrée

groupe de listes

$ Rosa liste cluster

liste des versions

$ versions de liste Rosa

décrire le cluster

$ Rosa décrire cluster -c <nom du groupe>

créer un administrateur

$ Rosa créer admin -c <nom du groupe>

liste des utilisateurs

$ Rosa liste utilisateurs -c <cluster-name>

liste des mises à jour

$ mises à jour de la liste Rosa

liste de configuration OIDC

$ Rosa liste oidc-config

liste des fournisseurs d’identité

$ Rosa liste idps -c <cluster-name>

liste des entrées

$ Rosa list ingresses -c <cluster-name>

Retour au début
Red Hat logoGithubredditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance. Découvrez nos récentes mises à jour.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez le Blog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

Theme

© 2025 Red Hat