8.2. La suppression des ressources de l’IAM à l’échelle du compte


Après avoir supprimé tous les services Red Hat OpenShift sur AWS (ROSA) avec des clusters de plans de contrôle hébergés (HCP) qui dépendent des ressources AWS Identity and Access Management (IAM) à l’échelle du compte, vous pouvez supprimer les ressources à l’échelle du compte.

Lorsque vous n’avez plus besoin d’installer un ROSA avec le cluster HCP en utilisant Red Hat OpenShift Cluster Manager, vous pouvez également supprimer le gestionnaire de cluster OpenShift et les rôles IAM utilisateur.

Important

Les rôles et les politiques IAM à l’échelle du compte pourraient être utilisés par d’autres ROSA avec des clusters HCP dans le même compte AWS. Il suffit de supprimer les ressources si elles ne sont pas requises par d’autres clusters.

Les rôles OpenShift Cluster Manager et IAM d’utilisateur sont nécessaires si vous souhaitez installer, gérer et supprimer d’autres services Red Hat OpenShift sur les clusters AWS dans le même compte AWS en utilisant OpenShift Cluster Manager. Supprimez uniquement les rôles si vous n’avez plus besoin d’installer Red Hat OpenShift Service sur les clusters AWS dans votre compte en utilisant OpenShift Cluster Manager. De plus amples informations sur la réparation de votre cluster si ces rôles sont supprimés avant la suppression, voir « Réparation d’un cluster qui ne peut pas être supprimé » dans Dépannage des déploiements de clusters.

Cette section fournit des étapes pour supprimer les rôles et les politiques IAM à l’échelle du compte que vous avez créés pour ROSA avec les déploiements HCP, ainsi que les politiques d’opérateur à l’échelle du compte. Les rôles et les politiques AWS Identity and Access Management (IAM) à l’échelle du compte ne peuvent être supprimés qu’après la suppression de tous les ROSA avec des clusters HCP qui en dépendent.

Important

Les rôles et politiques IAM à l’échelle du compte pourraient être utilisés par d’autres services Red Hat OpenShift sur AWS dans le même compte AWS. Les rôles ne sont supprimés que s’ils ne sont pas requis par d’autres clusters.

Conditions préalables

  • Il y a des rôles IAM à l’échelle du compte que vous souhaitez supprimer.
  • L’installation et la configuration de la dernière ROSA CLI (rosa) sur votre hôte d’installation.

Procédure

  1. Effacer les rôles à l’échelle du compte:

    1. Énumérez les rôles à l’échelle du compte dans votre compte AWS en utilisant le ROSA CLI (rosa):

      $ rosa list account-roles
      Copy to Clipboard Toggle word wrap

      Exemple de sortie

      I: Fetching account roles
      ROLE NAME                                 ROLE TYPE      ROLE ARN                                                                 OPENSHIFT VERSION  AWS Managed
      ManagedOpenShift-HCP-ROSA-Installer-Role  Installer      arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-HCP-ROSA-Installer-Role  4.18               Yes
      ManagedOpenShift-HCP-ROSA-Support-Role    Support        arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-HCP-ROSA-Support-Role    4.18               Yes
      ManagedOpenShift-HCP-ROSA-Worker-Role     Worker         arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-HCP-ROSA-Worker-Role     4.18               Yes
      Copy to Clipboard Toggle word wrap

    2. Effacer les rôles à l’échelle du compte:

      $ rosa delete account-roles --prefix <prefix> --mode auto 
      1
      Copy to Clipboard Toggle word wrap
      1
      Il faut inclure l’argument --&lt;prefix&gt;. &lt;prefix&gt; par le préfixe des rôles à supprimer à l’échelle du compte. Lorsque vous n’avez pas spécifié un préfixe personnalisé lorsque vous avez créé les rôles à l’échelle du compte, spécifiez le préfixe par défaut, ManagedOpenShift.
      Important

      Les rôles IAM à l’échelle du compte pourraient être utilisés par d’autres clusters ROSA dans le même compte AWS. Les rôles ne sont supprimés que s’ils ne sont pas requis par d’autres clusters.

      Exemple de sortie

      W: There are no classic account roles to be deleted
      I: Deleting hosted CP account roles
      ? Delete the account role 'delete-rosa-HCP-ROSA-Installer-Role'? Yes
      I: Deleting account role 'delete-rosa-HCP-ROSA-Installer-Role'
      ? Delete the account role 'delete-rosa-HCP-ROSA-Support-Role'? Yes
      I: Deleting account role 'delete-rosa-HCP-ROSA-Support-Role'
      ? Delete the account role 'delete-rosa-HCP-ROSA-Worker-Role'? Yes
      I: Deleting account role 'delete-rosa-HCP-ROSA-Worker-Role'
      I: Successfully deleted the hosted CP account roles
      Copy to Clipboard Toggle word wrap

  2. Effacer les politiques en ligne à l’échelle du compte et de l’opérateur:

    1. Dans la page Politiques de la console AWS IAM, filtrez la liste des stratégies par le préfixe que vous avez spécifié lorsque vous avez créé les rôles et stratégies à l’échelle du compte.

      Note

      Lorsque vous n’avez pas spécifié un préfixe personnalisé lorsque vous avez créé les rôles à l’échelle du compte, recherchez le préfixe par défaut, ManagedOpenShift.

    2. Supprimez les politiques en ligne à l’échelle du compte et les politiques d’opérateur en utilisant la console AWS IAM. Afin d’obtenir de plus amples informations sur la suppression des politiques IAM en utilisant la console AWS IAM, voir Supprimer les politiques IAM dans la documentation AWS.

      Important

      Les politiques IAM à l’échelle du compte et de l’opérateur IAM pourraient être utilisées par d’autres ROSA avec HCP dans le même compte AWS. Les rôles ne sont supprimés que s’ils ne sont pas requis par d’autres clusters.

Lorsque vous installez un ROSA avec le cluster HCP à l’aide de Red Hat OpenShift Cluster Manager, vous créez également des rôles OpenShift Cluster Manager et User Identity and Access Management (IAM) qui se lient à votre organisation Red Hat. Après avoir supprimé votre cluster, vous pouvez déconnecter et supprimer les rôles en utilisant le ROSA CLI (rosa).

Important

Le gestionnaire de cluster OpenShift et les rôles IAM d’utilisateur sont nécessaires si vous souhaitez utiliser OpenShift Cluster Manager pour installer et gérer d’autres ROSA avec HCP dans le même compte AWS. Supprimez uniquement les rôles si vous n’avez plus besoin d’utiliser OpenShift Cluster Manager pour installer ROSA avec des clusters HCP.

Conditions préalables

  • Il a créé OpenShift Cluster Manager et les rôles d’utilisateur IAM et les a reliés à votre organisation Red Hat.
  • L’installation et la configuration de la dernière ROSA CLI (rosa) sur votre hôte d’installation.
  • Il y a des privilèges d’administrateur d’organisation dans votre organisation Red Hat.

Procédure

  1. Déconnectez le rôle de gestionnaire de cluster OpenShift de votre organisation Red Hat et supprimez le rôle:

    1. Liste des rôles OpenShift Cluster Manager IAM dans votre compte AWS:

      $ rosa list ocm-roles
      Copy to Clipboard Toggle word wrap

      Exemple de sortie

      I: Fetching ocm roles
      ROLE NAME                                                     ROLE ARN                                                                                         LINKED  ADMIN  AWS Managed
      ManagedOpenShift-OCM-Role-<red_hat_organization_external_id>  arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-OCM-Role-<red_hat_organization_external_id>  Yes      Yes     Yes
      Copy to Clipboard Toggle word wrap

    2. Lorsque votre rôle OpenShift Cluster Manager IAM est listé comme lié dans la sortie de la commande précédente, déconnectez le rôle de votre organisation Red Hat en exécutant la commande suivante:

      $ rosa unlink ocm-role --role-arn <arn> 
      1
      Copy to Clipboard Toggle word wrap
      1
      &lt;arn&gt; par le nom de ressource Amazon (ARN) pour votre rôle OpenShift Cluster Manager IAM. L’ARN est spécifié dans la sortie de la commande précédente. Dans l’exemple précédent, l’ARN est au format arn:aws:iam::&lt;aws_account_id&gt;:role/ManagedOpenShift-OCM-Role-&lt;red_hat_organization_external_id&gt;.

      Exemple de sortie

      I: Unlinking OCM role
      ? Unlink the 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-OCM-Role-<red_hat_organization_external_id>' role from organization '<red_hat_organization_id>'? Yes
      I: Successfully unlinked role-arn 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-OCM-Role-<red_hat_organization_external_id>' from organization account '<red_hat_organization_id>'
      Copy to Clipboard Toggle word wrap

    3. Effacer le rôle et les politiques du gestionnaire de cluster OpenShift:

      $ rosa delete ocm-role --role-arn <arn>
      Copy to Clipboard Toggle word wrap

      Exemple de sortie

      I: Deleting OCM role
      ? OCM Role ARN: arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-OCM-Role-<red_hat_organization_external_id>
      ? Delete 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-OCM-Role-<red_hat_organization_external_id>' ocm role? Yes
      ? OCM role deletion mode: auto 
      1
      
      I: Successfully deleted the OCM role
      Copy to Clipboard Toggle word wrap

      1
      Indique le mode de suppression. Le mode automatique permet de supprimer automatiquement le rôle et les stratégies d’OpenShift Cluster Manager IAM. En mode manuel, le ROSA CLI génère les commandes aws nécessaires pour supprimer le rôle et les politiques. le mode manuel vous permet d’examiner les détails avant d’exécuter manuellement les commandes aws.
  2. Déconnectez le rôle de l’utilisateur IAM de votre organisation Red Hat et supprimez le rôle:

    1. Énumérez les rôles IAM d’utilisateur dans votre compte AWS:

      $ rosa list user-roles
      Copy to Clipboard Toggle word wrap

      Exemple de sortie

      I: Fetching user roles
      ROLE NAME                                  ROLE ARN                                                                  LINKED
      ManagedOpenShift-User-<ocm_user_name>-Role  arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-User-<ocm_user_name>-Role  Yes
      Copy to Clipboard Toggle word wrap

    2. Lorsque votre rôle IAM utilisateur est listé comme lié dans la sortie de la commande précédente, déconnectez le rôle de votre organisation Red Hat:

      $ rosa unlink user-role --role-arn <arn> 
      1
      Copy to Clipboard Toggle word wrap
      1
      &lt;arn&gt; par le nom de ressource Amazon (ARN) pour votre rôle IAM utilisateur. L’ARN est spécifié dans la sortie de la commande précédente. Dans l’exemple précédent, l’ARN est au format arn:aws:iam::&lt;aws_account_id&gt;:role/ManagedOpenShift-User-&lt;ocm_user_name&gt;-Role.

      Exemple de sortie

      I: Unlinking user role
      ? Unlink the 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-User-<ocm_user_name>-Role' role from the current account '<ocm_user_account_id>'? Yes
      I: Successfully unlinked role ARN 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-User-<ocm_user_name>-Role' from account '<ocm_user_account_id>'
      Copy to Clipboard Toggle word wrap

    3. Effacer le rôle de l’utilisateur IAM:

      $ rosa delete user-role --role-arn <arn>
      Copy to Clipboard Toggle word wrap

      Exemple de sortie

      I: Deleting user role
      ? User Role ARN: arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-User-<ocm_user_name>-Role
      ? Delete the 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-User-<ocm_user_name>-Role' role from the AWS account? Yes
      ? User role deletion mode: auto 
      1
      
      I: Successfully deleted the user role
      Copy to Clipboard Toggle word wrap

      1
      Indique le mode de suppression. Il est possible d’utiliser le mode automatique pour supprimer automatiquement le rôle de l’utilisateur IAM. En mode manuel, le ROSA CLI génère la commande aws nécessaire pour supprimer le rôle. le mode manuel vous permet d’examiner les détails avant d’exécuter manuellement la commande aws.
Retour au début
Red Hat logoGithubredditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance. Découvrez nos récentes mises à jour.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez le Blog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

Theme

© 2025 Red Hat