Red Hat Summit3.4. Groupe de référence du rôle de l’opérateur IAM
Cette section fournit des détails sur les rôles IAM d’opérateur requis pour les déploiements de Red Hat OpenShift Service sur AWS (ROSA) qui utilisent STS. Les opérateurs de cluster utilisent les rôles d’opérateur pour obtenir les autorisations temporaires requises pour effectuer des opérations de cluster, telles que la gestion du stockage back-end, les informations d’identification des fournisseurs de cloud et l’accès externe à un cluster.
Lorsque vous créez les rôles d’opérateur, les stratégies d’opérateur à l’échelle du compte pour la version du cluster de correspondance sont attachées aux rôles. Les politiques de l’opérateur sont marquées avec l’opérateur et la version avec laquelle elles sont compatibles. La stratégie correcte pour un rôle d’opérateur est déterminée à l’aide des balises.
Lorsque plus d’une stratégie de correspondance est disponible dans votre compte pour un rôle d’opérateur, une liste interactive d’options est fournie lorsque vous créez l’opérateur.
| A) Ressources | Description |
|---|---|
|
| Le rôle IAM requis par ROSA pour gérer le stockage back-end via l’interface de stockage de conteneurs (CSI). |
|
| Le rôle IAM requis par l’opérateur de configuration de machine ROSA pour exécuter les fonctionnalités de cluster de base. |
|
| Le rôle IAM requis par l’opérateur d’identification en nuage ROSA pour gérer les informations d’identification des fournisseurs de cloud. |
|
| Le rôle IAM requis par le contrôleur de configuration du réseau cloud pour gérer la configuration du réseau cloud pour un cluster. |
|
| Le rôle IAM requis par l’opérateur de registre d’images ROSA pour gérer le stockage du registre d’images OpenShift dans AWS S3 pour un cluster. |
|
| Le rôle d’IAM requis par l’opérateur ROSA Ingress pour gérer l’accès externe à un cluster. |
|
| Le rôle IAM requis par le contrôleur de configuration du réseau cloud pour gérer les informations d’identification réseau cloud pour un cluster. |
3.4.1. Le rôle de l’opérateur IAM référence AWS CLI
Cette section répertorie les commandes aws CLI qui sont affichées dans le terminal lorsque vous exécutez la commande rosa suivante en mode manuel:
rosa create operator-roles --mode manual --cluster <cluster_name>
$ rosa create operator-roles --mode manual --cluster <cluster_name>Lorsque vous utilisez le mode manuel, les commandes aws sont imprimées sur le terminal pour votre examen. Après avoir examiné les commandes aws, vous devez les exécuter manuellement. Alternativement, vous pouvez spécifier --mode auto avec la commande rosa créer pour exécuter les commandes aws immédiatement.
Commande de sortie
Les exemples de commandes fournis dans le tableau incluent les rôles d’opérateur qui utilisent le préfixe ManagedOpenShift. Lorsque vous avez défini un préfixe personnalisé lorsque vous avez créé les rôles et stratégies à l’échelle du compte, y compris les stratégies d’opérateur, vous devez y faire référence en utilisant l’option --prefix <prefix_name> lorsque vous créez les rôles Opérateur.
3.4.2. À propos des préfixes de rôle IAM de l’opérateur personnalisé
Chaque cluster Red Hat OpenShift Service sur AWS (ROSA) qui utilise le service de jetons de sécurité AWS (STS) nécessite des rôles IAM d’opérateur spécifiques à un cluster.
Les noms de rôles de l’opérateur sont préfixés par défaut avec le nom du cluster et un hachage aléatoire à 4 chiffres. À titre d’exemple, le rôle IAM de Cloud Credential Operator pour un cluster nommé mycluster a le nom par défaut mycluster-<hash>-openshift-cloud-credential-operator-cloud-credentials, où <hash> est une chaîne aléatoire à 4 chiffres.
Cette convention de nommage par défaut vous permet d’identifier facilement les rôles d’opérateur IAM pour un cluster dans votre compte AWS.
Lorsque vous créez les rôles Opérateur pour un cluster, vous pouvez éventuellement spécifier un préfixe personnalisé à utiliser au lieu de <cluster_name>-<hash>. En utilisant un préfixe personnalisé, vous pouvez prédépender des identifiants logiques à vos noms de rôle Opérateur pour répondre aux exigences de votre environnement. À titre d’exemple, vous pouvez préfixer le nom du cluster et le type d’environnement, comme mycluster-dev. Dans cet exemple, le nom de rôle de Cloud Credential Operator avec le préfixe personnalisé est mycluster-dev-openshift-cloud-credential-operator-cloud-credenti.
Les noms des rôles sont tronqués à 64 caractères.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}