Accueiil
Products
Red Hat OpenShift Service on AWS
4
Les tutoriels
14.3. La préparation de votre compte AWS

14.3. La préparation de votre compte AWS

Lorsque le gestionnaire de certificat demande un certificat auprès de Let's Encrypt (ou d’un autre émetteur de certificat ACME), Let's Encrypt serveurs valide que vous contrôlez le nom de domaine dans ce certificat à l’aide de défis. Dans ce tutoriel, vous utilisez un défi DNS-01 qui prouve que vous contrôlez le DNS pour votre nom de domaine en plaçant une valeur spécifique dans un enregistrement TXT sous ce nom de domaine. Cela se fait automatiquement par cert-manager. Afin d’autoriser le gestionnaire de licence à modifier la zone hébergée par Amazon Route 53 pour votre domaine, vous devez créer un rôle de gestion d’accès à l’identité (IAM) avec des autorisations de stratégie spécifiques et une relation de confiance pour permettre l’accès au pod.

La zone hébergée publique utilisée dans ce tutoriel se trouve dans le même compte AWS que le cluster ROSA. Dans le cas où votre zone hébergée publique se trouve dans un autre compte, quelques étapes supplémentaires pour l’accès au compte croisé sont nécessaires.

Découvrez l’ID de zone hébergée par Amazon Route 53:
Note
Cette commande recherche une zone hébergée publique qui correspond au domaine personnalisé que vous avez spécifié plus tôt sous le nom de variable d’environnement DOMAIN. Il est possible de spécifier manuellement la zone hébergée publique Amazon Route 53 en exécutant l’exportation ZONE_ID=<zone_ID>, en remplaçant <zone_ID> par votre identifiant de zone hébergée publique Amazon Route 53 spécifique.
```
export ZONE_ID=$(aws route53 list-hosted-zones-by-name --output json \
  --dns-name "${DOMAIN}." --query 'HostedZones[0]'.Id --out text | sed 's/\/hostedzone\///')
```
```
$ export ZONE_ID=$(aws route53 list-hosted-zones-by-name --output json \
  --dns-name "${DOMAIN}." --query 'HostedZones[0]'.Id --out text | sed 's/\/hostedzone\///')
```
Copy to Clipboard Toggle word wrap

Créez un document de stratégie AWS IAM pour l’opérateur de cert-manager qui offre la possibilité de mettre à jour uniquement la zone hébergée publique spécifiée:

cat <<EOF > "${SCRATCH}/cert-manager-policy.json"
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "route53:GetChange",
      "Resource": "arn:aws:route53:::change/*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "route53:ChangeResourceRecordSets",
        "route53:ListResourceRecordSets"
      ],
      "Resource": "arn:aws:route53:::hostedzone/${ZONE_ID}"
    },
    {
      "Effect": "Allow",
      "Action": "route53:ListHostedZonesByName",
      "Resource": "*"
    }
  ]
}
EOF

$ cat <<EOF > "${SCRATCH}/cert-manager-policy.json"
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "route53:GetChange",
      "Resource": "arn:aws:route53:::change/*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "route53:ChangeResourceRecordSets",
        "route53:ListResourceRecordSets"
      ],
      "Resource": "arn:aws:route53:::hostedzone/${ZONE_ID}"
    },
    {
      "Effect": "Allow",
      "Action": "route53:ListHostedZonesByName",
      "Resource": "*"
    }
  ]
}
EOF

Copy to Clipboard

Toggle word wrap

Créez la stratégie IAM à l’aide du fichier que vous avez créé à l’étape précédente:

POLICY_ARN=$(aws iam create-policy --policy-name "${CLUSTER}-cert-manager-policy" \
  --policy-document file://${SCRATCH}/cert-manager-policy.json \
  --query 'Policy.Arn' --output text)

$ POLICY_ARN=$(aws iam create-policy --policy-name "${CLUSTER}-cert-manager-policy" \
  --policy-document file://${SCRATCH}/cert-manager-policy.json \
  --query 'Policy.Arn' --output text)

Copy to Clipboard

Toggle word wrap

Créer une politique de confiance AWS IAM pour l’opérateur de cert-manager:

cat <<EOF > "${SCRATCH}/trust-policy.json"
{
 "Version": "2012-10-17",
 "Statement": [
 {
 "Effect": "Allow",
 "Condition": {
   "StringEquals" : {
     "${OIDC_ENDPOINT}:sub": "system:serviceaccount:cert-manager:cert-manager"
   }
 },
 "Principal": {
   "Federated": "arn:aws:iam::$AWS_ACCOUNT_ID:oidc-provider/${OIDC_ENDPOINT}"
 },
 "Action": "sts:AssumeRoleWithWebIdentity"
 }
 ]
}
EOF

$ cat <<EOF > "${SCRATCH}/trust-policy.json"
{
 "Version": "2012-10-17",
 "Statement": [
 {
 "Effect": "Allow",
 "Condition": {
   "StringEquals" : {
     "${OIDC_ENDPOINT}:sub": "system:serviceaccount:cert-manager:cert-manager"
   }
 },
 "Principal": {
   "Federated": "arn:aws:iam::$AWS_ACCOUNT_ID:oidc-provider/${OIDC_ENDPOINT}"
 },
 "Action": "sts:AssumeRoleWithWebIdentity"
 }
 ]
}
EOF

Copy to Clipboard

Toggle word wrap

Créer un rôle IAM pour l’opérateur de cert-manager en utilisant la politique de confiance que vous avez créée à l’étape précédente:

ROLE_ARN=$(aws iam create-role --role-name "${CLUSTER}-cert-manager-operator" \
   --assume-role-policy-document "file://${SCRATCH}/trust-policy.json" \
   --query Role.Arn --output text)

$ ROLE_ARN=$(aws iam create-role --role-name "${CLUSTER}-cert-manager-operator" \
   --assume-role-policy-document "file://${SCRATCH}/trust-policy.json" \
   --query Role.Arn --output text)

Copy to Clipboard

Toggle word wrap

Joindre la politique de permissions au rôle:

aws iam attach-role-policy --role-name "${CLUSTER}-cert-manager-operator" \
  --policy-arn ${POLICY_ARN}

$ aws iam attach-role-policy --role-name "${CLUSTER}-cert-manager-operator" \
  --policy-arn ${POLICY_ARN}

Copy to Clipboard

Toggle word wrap

Retour au début

14.3. La préparation de votre compte AWS

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Rendre l’open source plus inclusif

À propos de Red Hat

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links