Chapitre 3. Les ressources IAM requises pour les clusters STS
Afin de déployer un Red Hat OpenShift Service sur AWS (ROSA) cluster qui utilise AWS Security Token Service (STS), vous devez créer les ressources AWS Identity Access Management (IAM) suivantes:
- Des rôles et des politiques IAM spécifiques à l’échelle du compte qui fournissent les autorisations STS requises pour le support ROSA, l’installation, le plan de contrôle et la fonctionnalité de calcul. Cela inclut les politiques de l’opérateur à l’échelle du compte.
- Des rôles IAM d’opérateur spécifiques à un cluster qui permettent aux opérateurs de cluster ROSA d’exécuter la fonctionnalité principale d’OpenShift.
- Fournisseur OpenID Connect (OIDC) que les opérateurs de cluster utilisent pour s’authentifier.
Lorsque vous déployez et gérez votre cluster à l’aide d’OpenShift Cluster Manager, vous devez créer les ressources supplémentaires suivantes:
- A OpenShift Cluster Manager rôle IAM pour compléter l’installation sur votre cluster.
- Le rôle d’utilisateur sans aucune autorisation pour vérifier l’identité de votre compte AWS.
Ce document fournit des informations de référence sur les ressources IAM que vous devez déployer lorsque vous créez un cluster ROSA qui utilise STS. Il inclut également les commandes aws CLI qui sont générées lorsque vous utilisez le mode manuel avec la commande rosa create.
3.1. Les rôles et autorisations de gestionnaire de cluster OpenShift Copier lienLien copié sur presse-papiers!
Lorsque vous créez des clusters ROSA en utilisant OpenShift Cluster Manager, vous devez avoir les rôles AWS IAM suivants liés à votre compte AWS pour créer et gérer les clusters. En savoir plus sur le lien entre vos rôles IAM et votre compte AWS, consultez Associer votre compte AWS.
Ces rôles AWS IAM sont les suivants:
- Le rôle utilisateur ROSA (le rôle utilisateur) est un rôle AWS utilisé par Red Hat pour vérifier l’identité AWS du client. Ce rôle n’a pas d’autorisations supplémentaires, et le rôle a une relation de confiance avec le compte d’installation Red Hat.
La ressource ocm-rôle accorde les autorisations requises pour l’installation de clusters ROSA dans OpenShift Cluster Manager. Il est possible d’appliquer des autorisations de base ou administratives à la ressource ocm-role. En créant une ressource administrative ocm-rôle, OpenShift Cluster Manager peut créer les rôles AWS Operator et OpenID Connect (OIDC) nécessaires. Ce rôle d’IAM crée également une relation de confiance avec le compte d’installation Red Hat.
NoteLa ressource ocm-rôle IAM fait référence à la combinaison du rôle de l’IAM et des politiques nécessaires créées avec elle.
Il faut créer ce rôle d’utilisateur ainsi qu’une ressource administrative ocm-rôle, si vous souhaitez utiliser le mode automatique dans OpenShift Cluster Manager pour créer vos stratégies de rôles Opérateur et fournisseur OIDC.
3.1.1. Comprendre le rôle de gestionnaire de cluster OpenShift Copier lienLien copié sur presse-papiers!
La création de clusters ROSA dans OpenShift Cluster Manager nécessite un rôle IAM ocm-role. Les autorisations de rôle Ocm-role de base vous permettent d’effectuer la maintenance des clusters dans OpenShift Cluster Manager. Afin de créer automatiquement les rôles d’opérateur et le fournisseur OpenID Connect (OIDC), vous devez ajouter l’option --admin à la commande rosa create. Cette commande crée une ressource ocm-rôle avec des autorisations supplémentaires nécessaires pour les tâches administratives.
Ce rôle IAM élevé permet à OpenShift Cluster Manager de créer automatiquement les rôles d’opérateur spécifiques au cluster et le fournisseur OIDC lors de la création de clusters. Consultez le lien « Méthodes de création de rôles à l’échelle du compte » dans Ressources supplémentaires pour plus d’informations sur ce rôle automatique et la création de politiques.
3.1.1.1. Comprendre le rôle de l’utilisateur Copier lienLien copié sur presse-papiers!
En plus d’un rôle IAM ocm-rôle, vous devez créer un rôle utilisateur afin que Red Hat OpenShift Service sur AWS puisse vérifier votre identité AWS. Ce rôle n’a pas d’autorisations, et il n’est utilisé que pour créer une relation de confiance entre le compte d’installateur et vos ressources ocm-rôle.
Les tableaux suivants montrent les autorisations de base et administratives associées pour la ressource ocm-role.
A) Ressources | Description |
---|---|
| Cette autorisation permet au rôle de base de récupérer des informations sur le fournisseur OpenID Connect (OIDC) spécifié. |
| Cette autorisation permet au rôle de base de récupérer toute information pour un rôle spécifié. Certaines des données retournées incluent le chemin du rôle, GUID, ARN, et la politique de confiance du rôle qui accorde la permission d’assumer le rôle. |
| Cette autorisation permet au rôle de base de répertorier les rôles dans un préfixe de chemin. |
| Cette autorisation permet au rôle de base de répertorier les balises sur un rôle spécifié. |
| Cette autorisation permet au rôle de base de retourner des informations sur toutes les régions activées sur votre compte. |
| Cette autorisation permet au rôle de base de retourner des informations sur toutes vos tables d’itinéraires. |
| Cette autorisation permet au rôle de base de retourner des informations sur tous vos sous-réseaux. |
| Cette autorisation permet au rôle de base de retourner des informations sur tous vos clouds privés virtuels (VPC). |
| Cette autorisation permet au rôle de base de récupérer des informations de sécurité temporaires pour accéder aux ressources AWS qui sont au-delà de ses autorisations normales. |
| Cette autorisation permet au rôle de base de récupérer des informations de sécurité temporaires pour les utilisateurs authentifiés de leur compte auprès d’un fournisseur d’identité Web. |
A) Ressources | Description |
---|---|
| Cette autorisation permet au rôle d’administrateur d’attacher une stratégie spécifiée au rôle IAM souhaité. |
| Cette autorisation crée une ressource qui décrit un fournisseur d’identité, qui prend en charge OpenID Connect (OIDC). Lorsque vous créez un fournisseur OIDC avec cette autorisation, ce fournisseur établit une relation de confiance entre le fournisseur et AWS. |
| Cette autorisation permet au rôle d’administrateur de créer un rôle pour votre compte AWS. |
| Cette autorisation permet au rôle d’administrateur de répertorier toutes les stratégies associées à votre compte AWS. |
| Cette autorisation permet au rôle d’administrateur de répertorier les balises d’une stratégie désignée. |
| Cette autorisation permet au rôle d’administrateur de modifier la limite des autorisations pour un utilisateur en fonction d’une stratégie spécifiée. |
| Cette autorisation permet au rôle d’administrateur d’ajouter des tags à un rôle IAM. |
Création d’un rôle Ocm-role IAM
Créez vos rôles Ocm-role IAM à l’aide de l’interface de ligne de commande (CLI).
Conditions préalables
- Il y a un compte AWS.
- Dans l’organisation OpenShift Cluster Manager, vous avez les privilèges d’administrateur d’organisation Red Hat.
- Les autorisations requises pour installer les rôles AWS à l’échelle du compte sont requises.
- Dans votre installation, vous avez installé et configuré le dernier service Red Hat OpenShift sur AWS (ROSA) CLI, rosa.
Procédure
Afin de créer un rôle Ocm-role IAM avec des privilèges de base, exécutez la commande suivante:
rosa create ocm-role
$ rosa create ocm-role
Copy to Clipboard Copied! Toggle word wrap Toggle overflow Afin de créer un rôle Ocm-role IAM avec les privilèges d’administrateur, exécutez la commande suivante:
rosa create ocm-role --admin
$ rosa create ocm-role --admin
Copy to Clipboard Copied! Toggle word wrap Toggle overflow Cette commande vous permet de créer le rôle en spécifiant des attributs spécifiques. L’exemple suivant montre le "mode automatique" sélectionné, ce qui permet au ROSA CLI (rosa) de créer vos rôles et stratégies d’opérateur. Consultez « Méthodes de création de rôles à l’échelle du compte » pour plus d’informations.
Exemple de sortie
- 1
- Il s’agit d’une valeur préfixée pour toutes les ressources AWS créées. Dans cet exemple, ManagedOpenShift prépend toutes les ressources AWS.
- 2
- Choisissez si vous voulez que ce rôle ait les autorisations d’administration supplémentaires.Note
L’option --admin n’a pas été consultée.
- 3
- Le nom de ressource Amazon (ARN) de la politique pour définir les limites d’autorisation.
- 4
- Indiquez un chemin IAM pour le nom d’utilisateur.
- 5
- Choisissez la méthode pour créer vos rôles AWS. En utilisant l’auto, le ROSA CLI génère et relie les rôles et les politiques. En mode automatique, vous recevez des invitations différentes pour créer les rôles AWS.
- 6
- La méthode automatique vous demande si vous souhaitez créer un rôle ocm spécifique en utilisant votre préfixe.
- 7
- Confirmez que vous souhaitez associer votre rôle IAM à votre OpenShift Cluster Manager.
- 8
- Relie le rôle créé à votre organisation AWS.
Les rôles AWS IAM sont liés à votre compte AWS pour créer et gérer les clusters. En savoir plus sur le lien entre vos rôles IAM et votre compte AWS, consultez Associer votre compte AWS.