Red Hat Summit Red Hat SummitSupportConsoleDéveloppeursCommencer un essaiContact

8.5. Le moins d’autorisations de privilège pour les commandes ROSA CLI

Il est possible de créer des rôles avec des autorisations qui adhèrent au principe du moindre privilège, dans lequel les utilisateurs qui leur ont attribué les rôles n’ont pas d’autres autorisations qui leur sont assignées en dehors de la portée de l’action spécifique qu’ils doivent effectuer. Ces stratégies ne contiennent que les autorisations minimales requises pour effectuer des actions spécifiques en utilisant l’interface de ligne de commande (CLI) de Red Hat OpenShift Service sur AWS (ROSA).

Important

Bien que les politiques et les commandes présentées dans ce sujet fonctionnent en conjonction, vous pourriez avoir d’autres restrictions au sein de votre environnement AWS qui rendent les politiques de ces commandes insuffisantes pour vos besoins spécifiques. Le Red Hat fournit ces exemples comme base de référence, en supposant qu’aucune autre restriction AWS Identity and Access Management (IAM) n’est présente.

Consultez AWS Identity and Access Management dans la documentation AWS pour plus d’informations sur la configuration des autorisations, des stratégies et des rôles dans la console AWS.

Les autorisations minimales suivantes pour les commandes ROSA CLI listées s’appliquent aux clusters HCP (HCP) et Classic.

8.5.1.1. Créer un fournisseur géré OpenID Connect (OIDC)
Copier lien

Exécutez la commande suivante avec les autorisations spécifiées pour créer votre fournisseur OIDC géré en utilisant le mode automatique.

Entrée

$ rosa create oidc-config --mode auto

La politique

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateOidcConfig",
            "Effect": "Allow",
            "Action": [
                "iam:TagOpenIDConnectProvider",
                "iam:CreateOpenIDConnectProvider"
            ],
            "Resource": "*"
        }
    ]
}

8.5.1.2. Créer un fournisseur OpenID Connect non géré
Copier lien

Exécutez la commande suivante avec les autorisations spécifiées pour créer votre fournisseur OIDC non géré en utilisant le mode automatique.

Entrée

$ rosa create oidc-config --mode auto --managed=false

La politique

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:TagOpenIDConnectProvider",
                "iam:ListRoleTags",
                "iam:ListRoles",
                "iam:CreateOpenIDConnectProvider",
                "s3:CreateBucket",
                "s3:PutObject",
                "s3:PutBucketTagging",
                "s3:PutBucketPolicy",
                "s3:PutObjectTagging",
                "s3:PutBucketPublicAccessBlock",
                "secretsmanager:CreateSecret",
                "secretsmanager:TagResource"
            ],
            "Resource": "*"
        }
    ]
}

8.5.1.3. Liste des rôles de votre compte
Copier lien

Exécutez la commande suivante avec les autorisations spécifiées pour répertorier les rôles de votre compte.

Entrée

$ rosa list account-roles

La politique

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ListAccountRoles",
            "Effect": "Allow",
            "Action": [
                "iam:ListRoleTags",
                "iam:ListRoles"
            ],
            "Resource": "*"
        }
    ]
}

8.5.1.4. Liste de vos rôles d’opérateur
Copier lien

Exécutez la commande suivante avec les autorisations spécifiées pour répertorier vos rôles d’opérateur.

Entrée

$ rosa list operator-roles

La politique

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ListOperatorRoles",
            "Effect": "Allow",
            "Action": [
                "iam:ListRoleTags",
                "iam:ListAttachedRolePolicies",
                "iam:ListRoles",
                "iam:ListPolicyTags"
            ],
            "Resource": "*"
        }
    ]
}

8.5.1.5. Liste de vos fournisseurs OIDC
Copier lien

Exécutez la commande suivante avec les autorisations spécifiées pour répertorier vos fournisseurs OIDC.

Entrée

$ rosa list oidc-providers

La politique

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ListOidcProviders",
            "Effect": "Allow",
            "Action": [
                "iam:ListOpenIDConnectProviders",
                "iam:ListOpenIDConnectProviderTags"
            ],
            "Resource": "*"
        }
    ]
}

8.5.1.6. Contrôlez votre quota
Copier lien

Exécutez la commande suivante avec les autorisations spécifiées pour vérifier votre quota.

Entrée

$ rosa verify quota

La politique

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VerifyQuota",
            "Effect": "Allow",
            "Action": [
                "elasticloadbalancing:DescribeAccountLimits",
                "servicequotas:ListServiceQuotas"
            ],
            "Resource": "*"
        }
    ]
}

8.5.1.7. Supprimez votre configuration OIDC gérée
Copier lien

Exécutez la commande suivante avec les autorisations spécifiées pour supprimer votre configuration OIDC gérée en utilisant le mode automatique.

Entrée

$ rosa delete oidc-config -–mode auto

La politique

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DeleteOidcConfig",
            "Effect": "Allow",
            "Action": [
                "iam:ListOpenIDConnectProviders",
                "iam:DeleteOpenIDConnectProvider"
            ],
            "Resource": "*"
        }
    ]
}

8.5.1.8. Effacer votre configuration OIDC non gérée
Copier lien

Exécutez la commande suivante avec les autorisations spécifiées pour supprimer votre configuration OIDC non gérée en utilisant le mode automatique.

Entrée

$ rosa delete oidc-config -–mode auto

La politique

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "iam:ListOpenIDConnectProviders",
                "iam:DeleteOpenIDConnectProvider",
                "secretsmanager:DeleteSecret",
                "s3:ListBucket",
                "s3:DeleteObject",
                "s3:DeleteBucket"
            ],
            "Resource": "*"
        }
    ]
}

Les exemples suivants montrent les autorisations de privilèges les moins nécessaires pour les commandes ROSA CLI les plus courantes lors de la construction de ROSA avec des clusters de plans de contrôle hébergés (HCP).

8.5.2.1. Créer un cluster
Copier lien

Exécutez la commande suivante avec les autorisations spécifiées pour créer ROSA avec des clusters HCP.

Entrée

$ rosa create cluster --hosted-cp

La politique

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateCluster",
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:ListRoleTags",
                "iam:ListAttachedRolePolicies",
                "iam:ListRoles",
                "ec2:DescribeSubnets",
                "ec2:DescribeRouteTables",
                "ec2:DescribeAvailabilityZones"
            ],
            "Resource": "*"
        }
    ]
}

Exécutez la commande suivante avec les autorisations spécifiées pour créer des rôles de compte et d’opérateur en utilisant le mode automatique.

Entrée

$ rosa create account-roles --mode auto --hosted-cp

La politique

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateAccountRoles",
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:UpdateAssumeRolePolicy",
                "iam:ListRoleTags",
                "iam:GetPolicy",
                "iam:TagRole",
                "iam:ListRoles",
                "iam:CreateRole",
                "iam:AttachRolePolicy",
                "iam:ListPolicyTags"
            ],
            "Resource": "*"
        }
    ]
}

8.5.2.3. Effacer les rôles de votre compte
Copier lien

Exécutez la commande suivante avec les autorisations spécifiées pour supprimer les rôles de compte en mode automatique.

Entrée

$ rosa delete account-roles -–mode auto

La politique

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DeleteAccountRoles",
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:ListInstanceProfilesForRole",
                "iam:DetachRolePolicy",
                "iam:ListAttachedRolePolicies",
                "iam:ListRoles",
                "iam:DeleteRole",
                "iam:ListRolePolicies"
            ],
            "Resource": "*"
        }
    ]
}

8.5.2.4. Supprimez vos rôles d’opérateur
Copier lien

Exécutez la commande suivante avec les autorisations spécifiées pour supprimer vos rôles d’opérateur en mode automatique.

Entrée

$ rosa delete operator-roles -–mode auto

La politique

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DeleteOperatorRoles",
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:DetachRolePolicy",
                "iam:ListAttachedRolePolicies",
                "iam:ListRoles",
                "iam:DeleteRole"
            ],
            "Resource": "*"
        }
    ]
}

Les exemples suivants montrent les autorisations de privilèges les moins nécessaires pour les commandes ROSA CLI les plus courantes lors de la construction de clusters ROSA Classic.

8.5.3.1. Créer un cluster
Copier lien

Exécutez la commande suivante avec les autorisations spécifiées pour créer un cluster ROSA Classic avec le moins d’autorisations de privilège.

Entrée

$ rosa create cluster

La politique

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateCluster",
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:ListRoleTags",
                "iam:ListRoles"
            ],
            "Resource": "*"
        }
    ]
}

Exécutez la commande suivante avec les autorisations spécifiées pour créer des rôles de compte et d’opérateur en mode 'auto'.

Entrée

$ rosa create account-roles --mode auto --classic

La politique

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateAccountOperatorRoles",
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:UpdateAssumeRolePolicy",
                "iam:ListRoleTags",
                "iam:GetPolicy",
                "iam:TagRole",
                "iam:ListRoles",
                "iam:CreateRole",
                "iam:AttachRolePolicy",
                "iam:TagPolicy",
                "iam:CreatePolicy",
                "iam:ListPolicyTags"
            ],
            "Resource": "*"
        }
    ]
}

8.5.3.3. Effacer les rôles de votre compte
Copier lien

Exécutez la commande suivante avec les autorisations spécifiées pour supprimer les rôles de compte en mode automatique.

Entrée

$ rosa delete account-roles -–mode auto

La politique

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:ListInstanceProfilesForRole",
                "iam:DetachRolePolicy",
                "iam:ListAttachedRolePolicies",
                "iam:ListRoles",
                "iam:DeleteRole",
                "iam:ListRolePolicies",
                "iam:GetPolicy",
                "iam:ListPolicyVersions",
                "iam:DeletePolicy"
            ],
            "Resource": "*"
        }
    ]
}

8.5.3.4. Supprimez vos rôles d’opérateur
Copier lien

Exécutez la commande suivante avec les autorisations spécifiées pour supprimer les rôles Opérateur en mode automatique.

Entrée

$ rosa delete operator-roles -–mode auto

La politique

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:ListInstanceProfilesForRole",
                "iam:DetachRolePolicy",
                "iam:ListAttachedRolePolicies",
                "iam:ListRoles",
                "iam:DeleteRole",
                "iam:ListRolePolicies",
                "iam:GetPolicy",
                "iam:ListPolicyVersions",
                "iam:DeletePolicy"
            ],
            "Resource": "*"
        }
    ]
}

8.5.4. Commandes ROSA CLI sans autorisation requise
Copier lien

Les commandes ROSA CLI suivantes ne nécessitent pas d’autorisations ou de stratégies pour s’exécuter. Au lieu de cela, ils nécessitent une clé d’accès et une clé secrète configurée ou un rôle joint.

Expand
Tableau 8.112. Commandes
CommandeEntrée

groupe de listes

$ Rosa liste cluster

liste des versions

$ versions de liste Rosa

décrire le cluster

$ Rosa décrire cluster -c <nom du groupe>

créer un administrateur

$ Rosa créer admin -c <nom du groupe>

liste des utilisateurs

$ Rosa liste utilisateurs -c <cluster-name>

liste des mises à jour

$ mises à jour de la liste Rosa

liste de configuration OIDC

$ Rosa liste oidc-config

liste des fournisseurs d’identité

$ Rosa liste idps -c <cluster-name>

liste des entrées

$ Rosa list ingresses -c <cluster-name>

Red Hat logoGithubredditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez le Blog Red Hat.

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance. Découvrez nos récentes mises à jour.

Legal Notice

Theme

© 2026 Red HatRetour au début