Red Hat Summit3.2. À propos de la ressource ocm-role IAM
Il faut créer la ressource Ocm-role IAM pour permettre à une organisation Red Hat d’utilisateurs de créer des clusters Red Hat OpenShift Service sur AWS (ROSA). Dans le cadre de la connexion à AWS, une organisation Red Hat est un utilisateur unique au sein d’OpenShift Cluster Manager.
Certaines considérations pour votre ressource Ocm-role IAM sont:
- Il n’y a qu’un seul rôle IAM ocm-role par organisation Red Hat; cependant, vous pouvez avoir n’importe quel nombre de rôles IAM ocm-role par compte AWS. L’interface utilisateur Web exige qu’un seul de ces rôles puisse être lié à la fois.
- Chaque utilisateur d’une organisation Red Hat peut créer et lier une ressource Ocm-role IAM.
Il n’y a que l’administrateur de l’organisation Red Hat qui peut déconnecter une ressource IAM ocm-role. Cette limitation vise à protéger les autres membres de l’organisation Red Hat contre la perturbation des capacités d’interface des autres utilisateurs.
NoteLorsque vous venez de créer un compte Red Hat qui ne fait pas partie d’une organisation existante, ce compte est également l’administrateur de l’organisation Red Hat.
- Consultez « Comprendre le rôle de gestionnaire de cluster OpenShift » dans les ressources supplémentaires de cette section pour une liste des politiques d’autorisation AWS pour les ressources de base et admin ocm-rôle IAM.
En utilisant le ROSA CLI (rosa), vous pouvez lier votre ressource IAM lorsque vous la créez.
« Lier » ou « associer » vos ressources IAM à votre compte AWS signifie créer une politique de confiance avec votre rôle IAM ocm et le rôle AWS Red Hat OpenShift Cluster Manager. Après avoir créé et lié votre ressource IAM, vous voyez une relation de confiance à partir de votre ressource Ocm-role IAM dans AWS avec la ressource arn:aws:iam::7333:role/RH-Managed-OpenShift-Installer.
Après qu’un administrateur d’organisation Red Hat ait créé et lié une ressource Ocm-role IAM, tous les membres de l’organisation peuvent vouloir créer et relier leur propre rôle IAM à rôle utilisateur. Cette ressource IAM n’a besoin d’être créée et liée qu’une seule fois par utilisateur. « si un autre utilisateur de votre organisation Red Hat a déjà créé et lié une ressource IAM ocm-role, vous devez vous assurer que vous avez créé et lié votre propre rôle IAM de rôle utilisateur.
Ressources supplémentaires
3.2.1. Création d’un rôle Ocm-role IAM
Créez vos rôles Ocm-role IAM à l’aide de l’interface de ligne de commande (CLI).
Conditions préalables
- Il y a un compte AWS.
- Dans l’organisation OpenShift Cluster Manager, vous avez les privilèges d’administrateur d’organisation Red Hat.
- Les autorisations requises pour installer les rôles AWS à l’échelle du compte sont requises.
- Dans votre installation, vous avez installé et configuré le dernier service Red Hat OpenShift sur AWS (ROSA) CLI, rosa.
Procédure
Afin de créer un rôle Ocm-role IAM avec des privilèges de base, exécutez la commande suivante:
rosa create ocm-role
$ rosa create ocm-roleCopy to Clipboard Copied! Toggle word wrap Toggle overflow Afin de créer un rôle Ocm-role IAM avec les privilèges d’administrateur, exécutez la commande suivante:
rosa create ocm-role --admin
$ rosa create ocm-role --adminCopy to Clipboard Copied! Toggle word wrap Toggle overflow Cette commande vous permet de créer le rôle en spécifiant des attributs spécifiques. L’exemple suivant montre le "mode automatique" sélectionné, ce qui permet au ROSA CLI (rosa) de créer vos rôles et stratégies d’opérateur. Consultez « Méthodes de création de rôles à l’échelle du compte » pour plus d’informations.
Exemple de sortie
- 1
- Il s’agit d’une valeur préfixée pour toutes les ressources AWS créées. Dans cet exemple, ManagedOpenShift prépend toutes les ressources AWS.
- 2
- Choisissez si vous voulez que ce rôle ait les autorisations d’administration supplémentaires.Note
L’option --admin n’a pas été consultée.
- 3
- Le nom de ressource Amazon (ARN) de la politique pour définir les limites d’autorisation.
- 4
- Indiquez un chemin IAM pour le nom d’utilisateur.
- 5
- Choisissez la méthode pour créer vos rôles AWS. En utilisant l’auto, le ROSA CLI génère et relie les rôles et les politiques. En mode automatique, vous recevez des invitations différentes pour créer les rôles AWS.
- 6
- La méthode automatique vous demande si vous souhaitez créer un rôle ocm spécifique en utilisant votre préfixe.
- 7
- Confirmez que vous souhaitez associer votre rôle IAM à votre OpenShift Cluster Manager.
- 8
- Relie le rôle créé à votre organisation AWS.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}