Red Hat Summit Red Hat SummitSupportConsoleDéveloppeursCommencer un essaiContact

8.12. Dépannage des rôles IAM

Il se peut que vous receviez une erreur lorsque vous essayez de créer un cluster à l’aide du service Red Hat OpenShift sur AWS (ROSA) CLI, rosa.

Exemple de sortie

E: Failed to create cluster: The sts_user_role is not linked to account '1oNl'. Please create a user role and link it to the account.
Copy to Clipboard Toggle word wrap

Cette erreur signifie que le rôle IAM de rôle utilisateur n’est pas lié à votre compte AWS. La cause la plus probable de cette erreur est qu’un autre utilisateur de votre organisation Red Hat a créé le rôle Ocm-role IAM. Il faut créer votre rôle IAM de rôle utilisateur.

Note

Après que tout utilisateur ait mis en place une ressource IAM ocm-role liée à un compte Red Hat, tout utilisateur ultérieur souhaitant créer un cluster dans cette organisation Red Hat doit avoir un rôle IAM utilisateur pour fournir un cluster.

Procédure

  • Évaluez l’état de vos rôles ocm-role et user-role avec les commandes suivantes: 

    $ rosa list ocm-role
    Copy to Clipboard Toggle word wrap

    Exemple de sortie

    I: Fetching ocm roles
ROLE NAME                           ROLE ARN                                          LINKED  ADMIN
ManagedOpenShift-OCM-Role-1158  arn:aws:iam::2066:role/ManagedOpenShift-OCM-Role-1158   No      No
    Copy to Clipboard Toggle word wrap 

    $ rosa list user-role
    Copy to Clipboard Toggle word wrap

    Exemple de sortie

    I: Fetching user roles
ROLE NAME                                   ROLE ARN                                        LINKED
ManagedOpenShift-User.osdocs-Role  arn:aws:iam::2066:role/ManagedOpenShift-User.osdocs-Role  Yes
    Copy to Clipboard Toggle word wrap

Avec les résultats de ces commandes, vous pouvez créer et relier les ressources IAM manquantes.

8.12.1.1. Création d’un rôle Ocm-role IAM
Copier lien

Créez vos rôles Ocm-role IAM à l’aide de l’interface de ligne de commande (CLI).

Conditions préalables

  • Il y a un compte AWS.
  • Dans l’organisation OpenShift Cluster Manager, vous avez les privilèges d’administrateur d’organisation Red Hat.
  • Les autorisations requises pour installer les rôles AWS à l’échelle du compte sont requises.
  • Dans votre installation, vous avez installé et configuré le dernier service Red Hat OpenShift sur AWS (ROSA) CLI, rosa.

Procédure

  • Afin de créer un rôle Ocm-role IAM avec des privilèges de base, exécutez la commande suivante: 

    $ rosa create ocm-role
    Copy to Clipboard Toggle word wrap

  • Afin de créer un rôle Ocm-role IAM avec les privilèges d’administrateur, exécutez la commande suivante: 

    $ rosa create ocm-role --admin
    Copy to Clipboard Toggle word wrap

    Cette commande vous permet de créer le rôle en spécifiant des attributs spécifiques. L’exemple suivant montre le "mode automatique" sélectionné, ce qui permet au ROSA CLI (rosa) de créer vos rôles et stratégies d’opérateur. Consultez « Méthodes de création de rôles à l’échelle du compte » pour plus d’informations.

Exemple de sortie

I: Creating ocm role
? Role prefix: ManagedOpenShift
1 

? Enable admin capabilities for the OCM role (optional): No
2 

? Permissions boundary ARN (optional):
3 

? Role Path (optional):
4 

? Role creation mode: auto
5 

I: Creating role using 'arn:aws:iam::<ARN>:user/<UserName>'
? Create the 'ManagedOpenShift-OCM-Role-182' role? Yes
6 

I: Created role 'ManagedOpenShift-OCM-Role-182' with ARN  'arn:aws:iam::<ARN>:role/ManagedOpenShift-OCM-Role-182'
I: Linking OCM role
? OCM Role ARN: arn:aws:iam::<ARN>:role/ManagedOpenShift-OCM-Role-182
7 

? Link the 'arn:aws:iam::<ARN>:role/ManagedOpenShift-OCM-Role-182' role with organization '<AWS ARN>'? Yes
8 

I: Successfully linked role-arn 'arn:aws:iam::<ARN>:role/ManagedOpenShift-OCM-Role-182' with organization account '<AWS ARN>'
Copy to Clipboard Toggle word wrap

1
Il s’agit d’une valeur préfixée pour toutes les ressources AWS créées. Dans cet exemple, ManagedOpenShift prépend toutes les ressources AWS.
2
Choisissez si vous voulez que ce rôle ait les autorisations d’administration supplémentaires.
Note

L’option --admin n’a pas été consultée.

3
Le nom de ressource Amazon (ARN) de la politique pour définir les limites d’autorisation.
4
Indiquez un chemin IAM pour le nom d’utilisateur.
5
Choisissez la méthode pour créer vos rôles AWS. En utilisant l’auto, le ROSA CLI génère et relie les rôles et les politiques. En mode automatique, vous recevez des invitations différentes pour créer les rôles AWS.
6
La méthode automatique vous demande si vous souhaitez créer un rôle ocm spécifique en utilisant votre préfixe.
7
Confirmez que vous souhaitez associer votre rôle IAM à votre OpenShift Cluster Manager.
8
Relie le rôle créé à votre organisation AWS.

8.12.1.2. Création d’un rôle IAM de rôle utilisateur
Copier lien

Il est possible de créer vos rôles IAM à l’aide de l’interface ligne de commande (CLI).

Conditions préalables

  • Il y a un compte AWS.
  • Dans votre installation, vous avez installé et configuré le dernier service Red Hat OpenShift sur AWS (ROSA) CLI, rosa.

Procédure

  • Afin de créer un rôle IAM de rôle utilisateur avec des privilèges de base, exécutez la commande suivante: 

    $ rosa create user-role
    Copy to Clipboard Toggle word wrap

    Cette commande vous permet de créer le rôle en spécifiant des attributs spécifiques. L’exemple suivant montre le "mode automatique" sélectionné, ce qui permet au ROSA CLI (rosa) de créer vos rôles et stratégies d’opérateur. Consultez « Comprendre les modes de déploiement automatique et manuel » pour plus d’informations.

Exemple de sortie

I: Creating User role
? Role prefix: ManagedOpenShift
1 

? Permissions boundary ARN (optional):
2 

? Role Path (optional):
3 

? Role creation mode: auto
4 

I: Creating ocm user role using 'arn:aws:iam::2066:user'
? Create the 'ManagedOpenShift-User.osdocs-Role' role? Yes
5 

I: Created role 'ManagedOpenShift-User.osdocs-Role' with ARN 'arn:aws:iam::2066:role/ManagedOpenShift-User.osdocs-Role'
I: Linking User role
? User Role ARN: arn:aws:iam::2066:role/ManagedOpenShift-User.osdocs-Role
? Link the 'arn:aws:iam::2066:role/ManagedOpenShift-User.osdocs-Role' role with account '1AGE'? Yes
6 

I: Successfully linked role ARN 'arn:aws:iam::2066:role/ManagedOpenShift-User.osdocs-Role' with account '1AGE'
Copy to Clipboard Toggle word wrap

1
Il s’agit d’une valeur préfixée pour toutes les ressources AWS créées. Dans cet exemple, ManagedOpenShift prépend toutes les ressources AWS.
2
Le nom de ressource Amazon (ARN) de la politique pour définir les limites d’autorisation.
3
Indiquez un chemin IAM pour le nom d’utilisateur.
4
Choisissez la méthode pour créer vos rôles AWS. En utilisant l’auto, le ROSA CLI génère et relie les rôles et les politiques. En mode automatique, vous recevez des invitations différentes pour créer les rôles AWS.
5
La méthode automatique vous demande si vous souhaitez créer un rôle utilisateur spécifique en utilisant votre préfixe.
6
Relie le rôle créé à votre organisation AWS.

8.12.1.3. Associer votre compte AWS aux rôles IAM
Copier lien

Il est possible d’associer ou de lier votre compte AWS aux rôles IAM existants en utilisant le service Red Hat OpenShift sur AWS (ROSA) CLI, rosa.

Conditions préalables

  • Il y a un compte AWS.
  • Les autorisations requises pour installer les rôles AWS à l’échelle du compte sont requises. Consultez les « Ressources supplémentaires » de cette section pour plus d’informations.
  • L’installation et la configuration des derniers CLI AWS (aws) et ROSA (rosa) sur votre hôte d’installation.

  • « vous avez créé les rôles ocm-role et user-role IAM, mais vous ne les avez pas encore liés à votre compte AWS. Il est possible de vérifier si vos rôles IAM sont déjà liés en exécutant les commandes suivantes: 

    $ rosa list ocm-role
    Copy to Clipboard Toggle word wrap 
    $ rosa list user-role
    Copy to Clipboard Toggle word wrap

    Lorsque Oui est affiché dans la colonne Linked pour les deux rôles, vous avez déjà lié les rôles à un compte AWS.

Procédure

  1. À partir du CLI, liez votre ressource ocm-role à votre organisation Red Hat en utilisant votre nom de ressource Amazon (ARN):

    Note

    Il faut avoir les privilèges d’administrateur de l’organisation Red Hat pour exécuter la commande rosa link. Après avoir lié la ressource ocm-role à votre compte AWS, elle est visible pour tous les utilisateurs de l’organisation. 

    $ rosa link ocm-role --role-arn <arn>
    Copy to Clipboard Toggle word wrap

    Exemple de sortie

    I: Linking OCM role
? Link the '<AWS ACCOUNT ID>` role with organization '<ORG ID>'? Yes
I: Successfully linked role-arn '<AWS ACCOUNT ID>' with organization account '<ORG ID>'
    Copy to Clipboard Toggle word wrap

  2. À partir du CLI, liez votre ressource de rôle utilisateur à votre compte d’utilisateur Red Hat en utilisant votre nom de ressource Amazon (ARN): 

    $ rosa link user-role --role-arn <arn>
    Copy to Clipboard Toggle word wrap

    Exemple de sortie

    I: Linking User role
? Link the 'arn:aws:iam::<ARN>:role/ManagedOpenShift-User-Role-125' role with organization '<AWS ID>'? Yes
I: Successfully linked role-arn 'arn:aws:iam::<ARN>:role/ManagedOpenShift-User-Role-125' with organization account '<AWS ID>'
    Copy to Clipboard Toggle word wrap

Il est possible d’associer plusieurs comptes AWS à votre organisation Red Hat. L’association de plusieurs comptes vous permet de créer des clusters Red Hat OpenShift Service sur AWS (ROSA) sur l’un des comptes AWS associés de votre organisation Red Hat.

Avec cette fonctionnalité, vous pouvez créer des clusters dans différentes régions AWS en utilisant plusieurs profils AWS en tant qu’environnements liés à la région.

Conditions préalables

  • Il y a un compte AWS.
  • Il est possible d’utiliser OpenShift Cluster Manager pour créer des clusters.
  • Les autorisations requises pour installer les rôles AWS à l’échelle du compte sont requises.
  • L’installation et la configuration des derniers CLI AWS (aws) et ROSA (rosa) sur votre hôte d’installation.
  • C’est vous qui avez créé vos rôles Ocm-role et user-role IAM.

Procédure

Afin d’associer un compte AWS supplémentaire, créez d’abord un profil dans votre configuration AWS locale. Ensuite, associez le compte à votre organisation Red Hat en créant les rôles ocm-rôle, utilisateur et compte dans le compte AWS supplémentaire.

Afin de créer les rôles dans une région supplémentaire, spécifiez le paramètre --profile &lt;aws-profile&gt; lors de l’exécution de la rosa créer des commandes et remplacer &lt;aws_profile&gt; par le nom de profil de compte supplémentaire:

  • De spécifier un profil de compte AWS lors de la création d’un rôle OpenShift Cluster Manager: 

    $ rosa create --profile <aws_profile> ocm-role
    Copy to Clipboard Toggle word wrap

  • De spécifier un profil de compte AWS lors de la création d’un rôle utilisateur: 

    $ rosa create --profile <aws_profile> user-role
    Copy to Clipboard Toggle word wrap

  • De spécifier un profil de compte AWS lors de la création des rôles de compte: 

    $ rosa create --profile <aws_profile> account-roles
    Copy to Clipboard Toggle word wrap
Note

Dans le cas où vous ne spécifiez pas un profil, le profil AWS par défaut est utilisé.

Retour au début
Red Hat logoGithubredditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance. Découvrez nos récentes mises à jour.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez le Blog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

Theme

© 2025 Red Hat