Chapitre 3. Les ressources IAM requises pour les clusters STS


Afin de déployer un Red Hat OpenShift Service sur AWS (ROSA) cluster qui utilise AWS Security Token Service (STS), vous devez créer les ressources AWS Identity Access Management (IAM) suivantes:

  • Des rôles et des politiques IAM spécifiques à l’échelle du compte qui fournissent les autorisations STS requises pour le support ROSA, l’installation, le plan de contrôle et la fonctionnalité de calcul. Cela inclut les politiques de l’opérateur à l’échelle du compte.
  • Des rôles IAM d’opérateur spécifiques à un cluster qui permettent aux opérateurs de cluster ROSA d’exécuter la fonctionnalité principale d’OpenShift.
  • Fournisseur OpenID Connect (OIDC) que les opérateurs de cluster utilisent pour s’authentifier.
  • Lorsque vous déployez et gérez votre cluster à l’aide d’OpenShift Cluster Manager, vous devez créer les ressources supplémentaires suivantes:

    • A OpenShift Cluster Manager rôle IAM pour compléter l’installation sur votre cluster.
    • Le rôle d’utilisateur sans aucune autorisation pour vérifier l’identité de votre compte AWS.

Ce document fournit des informations de référence sur les ressources IAM que vous devez déployer lorsque vous créez un cluster ROSA qui utilise STS. Il inclut également les commandes aws CLI qui sont générées lorsque vous utilisez le mode manuel avec la commande rosa create.

Lorsque vous créez des clusters ROSA en utilisant OpenShift Cluster Manager, vous devez avoir les rôles AWS IAM suivants liés à votre compte AWS pour créer et gérer les clusters. En savoir plus sur le lien entre vos rôles IAM et votre compte AWS, consultez Associer votre compte AWS.

Ces rôles AWS IAM sont les suivants:

  • Le rôle utilisateur ROSA (le rôle utilisateur) est un rôle AWS utilisé par Red Hat pour vérifier l’identité AWS du client. Ce rôle n’a pas d’autorisations supplémentaires, et le rôle a une relation de confiance avec le compte d’installation Red Hat.
  • La ressource ocm-rôle accorde les autorisations requises pour l’installation de clusters ROSA dans OpenShift Cluster Manager. Il est possible d’appliquer des autorisations de base ou administratives à la ressource ocm-role. En créant une ressource administrative ocm-rôle, OpenShift Cluster Manager peut créer les rôles AWS Operator et OpenID Connect (OIDC) nécessaires. Ce rôle d’IAM crée également une relation de confiance avec le compte d’installation Red Hat.

    Note

    La ressource ocm-rôle IAM fait référence à la combinaison du rôle de l’IAM et des politiques nécessaires créées avec elle.

Il faut créer ce rôle d’utilisateur ainsi qu’une ressource administrative ocm-rôle, si vous souhaitez utiliser le mode automatique dans OpenShift Cluster Manager pour créer vos stratégies de rôles Opérateur et fournisseur OIDC.

La création de clusters ROSA dans OpenShift Cluster Manager nécessite un rôle IAM ocm-role. Les autorisations de rôle Ocm-role de base vous permettent d’effectuer la maintenance des clusters dans OpenShift Cluster Manager. Afin de créer automatiquement les rôles d’opérateur et le fournisseur OpenID Connect (OIDC), vous devez ajouter l’option --admin à la commande rosa create. Cette commande crée une ressource ocm-rôle avec des autorisations supplémentaires nécessaires pour les tâches administratives.

Note

Ce rôle IAM élevé permet à OpenShift Cluster Manager de créer automatiquement les rôles d’opérateur spécifiques au cluster et le fournisseur OIDC lors de la création de clusters. Consultez le lien « Méthodes de création de rôles à l’échelle du compte » dans Ressources supplémentaires pour plus d’informations sur ce rôle automatique et la création de politiques.

3.1.1.1. Comprendre le rôle de l’utilisateur

En plus d’un rôle IAM ocm-rôle, vous devez créer un rôle utilisateur afin que Red Hat OpenShift Service sur AWS puisse vérifier votre identité AWS. Ce rôle n’a pas d’autorisations, et il n’est utilisé que pour créer une relation de confiance entre le compte d’installateur et vos ressources ocm-rôle.

Les tableaux suivants montrent les autorisations de base et administratives associées pour la ressource ocm-role.

Expand
Tableau 3.1. Autorisations associées pour la ressource de base ocm-role
A) RessourcesDescription

IAM:Get OpenIDConnectProvider

Cette autorisation permet au rôle de base de récupérer des informations sur le fournisseur OpenID Connect (OIDC) spécifié.

IAM:GetRole

Cette autorisation permet au rôle de base de récupérer toute information pour un rôle spécifié. Certaines des données retournées incluent le chemin du rôle, GUID, ARN, et la politique de confiance du rôle qui accorde la permission d’assumer le rôle.

IAM:ListRoles

Cette autorisation permet au rôle de base de répertorier les rôles dans un préfixe de chemin.

IAM:ListRoleTags

Cette autorisation permet au rôle de base de répertorier les balises sur un rôle spécifié.

ec2:DescribeRegions

Cette autorisation permet au rôle de base de retourner des informations sur toutes les régions activées sur votre compte.

ec2:DescribeRouteTables

Cette autorisation permet au rôle de base de retourner des informations sur toutes vos tables d’itinéraires.

ec2:DescribeSubnets

Cette autorisation permet au rôle de base de retourner des informations sur tous vos sous-réseaux.

ec2: DescribeVpcs

Cette autorisation permet au rôle de base de retourner des informations sur tous vos clouds privés virtuels (VPC).

catégorie:AssumeRole

Cette autorisation permet au rôle de base de récupérer des informations de sécurité temporaires pour accéder aux ressources AWS qui sont au-delà de ses autorisations normales.

ajouter au panier STS:AssumeRole WithWebIdentity

Cette autorisation permet au rôle de base de récupérer des informations de sécurité temporaires pour les utilisateurs authentifiés de leur compte auprès d’un fournisseur d’identité Web.

Expand
Tableau 3.2. Autorisations supplémentaires pour la ressource admin ocm-role
A) RessourcesDescription

IAM: AttachRolePolicy

Cette autorisation permet au rôle d’administrateur d’attacher une stratégie spécifiée au rôle IAM souhaité.

IAM:CreateOpenIDConnectProvider

Cette autorisation crée une ressource qui décrit un fournisseur d’identité, qui prend en charge OpenID Connect (OIDC). Lorsque vous créez un fournisseur OIDC avec cette autorisation, ce fournisseur établit une relation de confiance entre le fournisseur et AWS.

IAM:CreateRole

Cette autorisation permet au rôle d’administrateur de créer un rôle pour votre compte AWS.

IAM:ListPolicies

Cette autorisation permet au rôle d’administrateur de répertorier toutes les stratégies associées à votre compte AWS.

IAM:ListPolicyTags

Cette autorisation permet au rôle d’administrateur de répertorier les balises d’une stratégie désignée.

IAM:PutRolePermissionsBoundary

Cette autorisation permet au rôle d’administrateur de modifier la limite des autorisations pour un utilisateur en fonction d’une stratégie spécifiée.

IAM:TagRole

Cette autorisation permet au rôle d’administrateur d’ajouter des tags à un rôle IAM.

Création d’un rôle Ocm-role IAM

Créez vos rôles Ocm-role IAM à l’aide de l’interface de ligne de commande (CLI).

Conditions préalables

  • Il y a un compte AWS.
  • Dans l’organisation OpenShift Cluster Manager, vous avez les privilèges d’administrateur d’organisation Red Hat.
  • Les autorisations requises pour installer les rôles AWS à l’échelle du compte sont requises.
  • Dans votre installation, vous avez installé et configuré le dernier service Red Hat OpenShift sur AWS (ROSA) CLI, rosa.

Procédure

  • Afin de créer un rôle Ocm-role IAM avec des privilèges de base, exécutez la commande suivante:

    $ rosa create ocm-role
    Copy to Clipboard Toggle word wrap
  • Afin de créer un rôle Ocm-role IAM avec les privilèges d’administrateur, exécutez la commande suivante:

    $ rosa create ocm-role --admin
    Copy to Clipboard Toggle word wrap

    Cette commande vous permet de créer le rôle en spécifiant des attributs spécifiques. L’exemple suivant montre le "mode automatique" sélectionné, ce qui permet au ROSA CLI (rosa) de créer vos rôles et stratégies d’opérateur. Consultez « Méthodes de création de rôles à l’échelle du compte » pour plus d’informations.

Exemple de sortie

I: Creating ocm role
? Role prefix: ManagedOpenShift 
1

? Enable admin capabilities for the OCM role (optional): No 
2

? Permissions boundary ARN (optional): 
3

? Role Path (optional): 
4

? Role creation mode: auto 
5

I: Creating role using 'arn:aws:iam::<ARN>:user/<UserName>'
? Create the 'ManagedOpenShift-OCM-Role-182' role? Yes 
6

I: Created role 'ManagedOpenShift-OCM-Role-182' with ARN  'arn:aws:iam::<ARN>:role/ManagedOpenShift-OCM-Role-182'
I: Linking OCM role
? OCM Role ARN: arn:aws:iam::<ARN>:role/ManagedOpenShift-OCM-Role-182 
7

? Link the 'arn:aws:iam::<ARN>:role/ManagedOpenShift-OCM-Role-182' role with organization '<AWS ARN>'? Yes 
8

I: Successfully linked role-arn 'arn:aws:iam::<ARN>:role/ManagedOpenShift-OCM-Role-182' with organization account '<AWS ARN>'
Copy to Clipboard Toggle word wrap

1
Il s’agit d’une valeur préfixée pour toutes les ressources AWS créées. Dans cet exemple, ManagedOpenShift prépend toutes les ressources AWS.
2
Choisissez si vous voulez que ce rôle ait les autorisations d’administration supplémentaires.
Note

L’option --admin n’a pas été consultée.

3
Le nom de ressource Amazon (ARN) de la politique pour définir les limites d’autorisation.
4
Indiquez un chemin IAM pour le nom d’utilisateur.
5
Choisissez la méthode pour créer vos rôles AWS. En utilisant l’auto, le ROSA CLI génère et relie les rôles et les politiques. En mode automatique, vous recevez des invitations différentes pour créer les rôles AWS.
6
La méthode automatique vous demande si vous souhaitez créer un rôle ocm spécifique en utilisant votre préfixe.
7
Confirmez que vous souhaitez associer votre rôle IAM à votre OpenShift Cluster Manager.
8
Relie le rôle créé à votre organisation AWS.

Les rôles AWS IAM sont liés à votre compte AWS pour créer et gérer les clusters. En savoir plus sur le lien entre vos rôles IAM et votre compte AWS, consultez Associer votre compte AWS.

Retour au début
Red Hat logoGithubredditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance. Découvrez nos récentes mises à jour.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez le Blog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

Theme

© 2025 Red Hat