19.5. コンポーネントの短期認証情報を使用した手動モード


インストール中に、手動モードで動作するように Cloud Credential Operator (CCO) を設定し、CCO ユーティリティー (ccoctl) を使用して、OpenShift Container Platform クラスターの外部で作成および管理される個々のコンポーネントに短期セキュリティー認証情報を実装できます。

注記

この認証情報戦略は、Amazon Web Services (AWS)、Google Cloud Platform (GCP)、およびグローバル Microsoft Azure でのみサポートされています。

AWS クラスターおよび GCP クラスターの場合は、新しい OpenShift Container Platform クラスターのインストール中に、このストラテジーを使用するようにクラスターを設定する必要があります。この機能を使用するために、異なる認証情報ストラテジーを使用する既存の AWS クラスターまたは GCP クラスターを設定することはできません。

インストール中に Azure クラスターが Microsoft Entra Workload ID を使用するように設定しなかった場合は、既存のクラスターでこの認証方法を有効にする ことができます。

クラウドプロバイダーは、この認証方法の実装にさまざまな用語を使用します。

表19.3 短期認証情報プロバイダーの用語
クラウドプロバイダープロバイダーの命名法

Amazon Web Services (AWS)

AWS Security Token Service (STS)

Google Cloud Platform (GCP)

GCP Workload Identity

Global Microsoft Azure

Microsoft Entra Workload ID

19.5.1. AWS Security Token Service

Security Token Service (STS) での手動モードでは、個別の OpenShift Container Platform クラスターコンポーネントは AWS STS を使用して、短期的かつ権限が制限されたセキュリティー認証情報を提供する IAM ロールをコンポーネントに割り当てます。これらの認証情報は、AWS API 呼び出しを行う各コンポーネントに固有の IAM ロールに関連付けられます。

19.5.1.1. AWS Security Token Service の認証プロセス

AWS Security Token Service (STS) と AssumeRole API アクションを使用すると、Pod が IAM ロールポリシーで定義されたアクセスキーを取得できるようになります。

OpenShift Container Platform クラスターには、Kubernetes サービスアカウント署名サービスが組み込まれています。このサービスは、秘密鍵を使用してサービスアカウント JSON Web トークン (JWT) に署名します。サービスアカウントトークンを必要とする Pod は、Pod 仕様を通じてサービスアカウントトークンを要求します。Pod が作成されてノードに割り当てられると、そのノードがサービスアカウント署名サービスから署名付きサービスアカウントを取得し、それを Pod にマウントします。

STS を使用するクラスターでは、Kubernetes 設定シークレットに IAM ロール ID が含まれています。ワークロードは、この IAM ロール ID のアイデンティティーを引き継ぎます。ワークロードに発行された署名付きサービスアカウントトークンが AWS の設定と一致するため、AWS STS は指定された IAM ロールのアクセスキーをワークロードに付与できます。

AWS STS は、次の条件を満たすサービスアカウントトークンを含む要求に対してのみアクセスキーを付与します。

  • トークンの名前と namespace が、サービスアカウントの名前と namespace と一致している。
  • トークンが公開鍵と一致する鍵によって署名されている。

クラスターで使用されるサービスアカウント署名鍵の公開鍵ペアは、AWS S3 バケットに保存されます。AWS STS のフェデレーションによって、サービスアカウントトークンの署名が S3 バケットに保存されている公開鍵と一致していることが検証されます。

19.5.1.1.1. AWS STS の認証フロー

次の図は、AWS STS を使用する場合の AWS と OpenShift Container Platform クラスター間の認証フローを示しています。

  • トークン署名 は、OpenShift Container Platform クラスター上の Kubernetes サービスアカウント署名サービスです。
  • Pod 内の Kubernetes サービスアカウント は、署名付きサービスアカウントトークンです。

図19.2 AWS Security Token Service の認証フロー

AWS STS 使用時の AWS とクラスター間の詳細な認証フロー

新しい認証情報と更新された認証情報の要求は、適切に設定された AWS IAM OpenID Connect (OIDC) ID プロバイダーと AWS IAM ロールを組み合わせて使用することで自動化されます。AWS IAM によって信頼されているサービスアカウントトークンは、OpenShift Container Platform によって署名されており、Pod に展開して認証に使用できます。

19.5.1.1.2. AWS STS のトークン更新

Pod が使用する署名付きサービスアカウントトークンは、一定期間が経過すると期限切れになります。AWS STS を使用するクラスターの場合、この期間は 3600 秒、つまり 1 時間です。

トークンの更新は、Pod が割り当てられているノード上の kubelet により実行されます。kubelet は、トークンの有効期間の 80% を超えると、トークンのローテーションを試みます。

19.5.1.1.3. AWS STS の OpenID Connect の要件

OIDC 設定の暗号鍵のパブリック部分は、パブリックまたはプライベート S3 バケットに保存できます。

OIDC 仕様では HTTPS を使用する必要があります。AWS サービスは、OIDC ドキュメントを JSON Web Key Set (JWKS) 公開鍵の形式で公開するパブリックエンドポイントを必須としています。これにより、AWS サービスは、Kubernetes によって署名されたバインドされたトークンを検証し、証明書を信頼するかどうかを判断できるようになります。そのため、どちらの S3 バケットオプションでもパブリック HTTPS エンドポイントは必要です。プライベートエンドポイントはサポートされません。

AWS STS を使用するには、AWS STS サービスのパブリック AWS バックボーンが、パブリック S3 バケット、またはパブリック CloudFront エンドポイントを備えたプライベート S3 バケットと通信できる必要があります。インストール時に、CredentialsRequest オブジェクトの処理に使用するバケットのタイプを選択できます。

  • デフォルトでは、CCO ユーティリティー (ccoctl) が、OIDC 設定ファイルをパブリック S3 バケットに保存し、S3 URL をパブリック OIDC エンドポイントとして使用します。
  • または、ccoctl ユーティリティーで OIDC 設定をプライベート S3 バケットに保存し、そのバケットに、パブリック CloudFront 配布 URL を介して IAM ID プロバイダーからアクセスすることもできます。

19.5.1.2. AWS コンポーネントのシークレット形式

AWS Security Token Service (STS) で手動モードを使用すると、個々の OpenShift Container Platform コンポーネントに提供される AWS 認証情報の内容が変更されます。次のシークレット形式を比較してください。

長期認証情報を使用した AWS シークレット形式

apiVersion: v1
kind: Secret
metadata:
  namespace: <target_namespace> 1
  name: <target_secret_name> 2
data:
  aws_access_key_id: <base64_encoded_access_key_id>
  aws_secret_access_key: <base64_encoded_secret_access_key>

1
コンポーネントの namespace。
2
コンポーネントシークレットの名前。

AWS STS を使用した AWS シークレット形式

apiVersion: v1
kind: Secret
metadata:
  namespace: <target_namespace> 1
  name: <target_secret_name> 2
stringData:
  credentials: |-
    [default]
    sts_regional_endpoints = regional
    role_name: <operator_role_name> 3
    web_identity_token_file: <path_to_token> 4

1
コンポーネントの namespace。
2
コンポーネントシークレットの名前。
3
コンポーネントの IAM ロール。
4
Pod 内のサービスアカウントトークンへのパス。通常、これは OpenShift Container Platform コンポーネントの /var/run/secrets/openshift/serviceaccount/token です。

19.5.1.3. AWS コンポーネントのシークレット権限の要件

OpenShift Container Platform コンポーネントには次の権限が必要です。これらの値は、各コンポーネントの CredentialsRequest カスタムリソース (CR) にあります。

注記

これらの権限はすべてのリソースに適用されます。特に指定しない限り、これらのアクセス許可には要求条件はありません。

コンポーネントカスタムリソースサービスに必要な権限

Cluster CAPI Operator

openshift-cluster-api-aws

EC2

  • ec2:CreateTags
  • ec2:DescribeAvailabilityZones
  • ec2:DescribeDhcpOptions
  • ec2:DescribeImages
  • ec2:DescribeInstances
  • ec2:DescribeInternetGateways
  • ec2:DescribeSecurityGroups
  • ec2:DescribeSubnets
  • ec2:DescribeVpcs
  • ec2:DescribeNetworkInterfaces
  • ec2:DescribeNetworkInterfaceAttribute
  • ec2:ModifyNetworkInterfaceAttribute
  • ec2:RunInstances
  • ec2:TerminateInstances

Elastic load balancing

  • elasticloadbalancing:DescribeLoadBalancers
  • elasticloadbalancing:DescribeTargetGroups
  • elasticloadbalancing:DescribeTargetHealth
  • elasticloadbalancing:RegisterInstancesWithLoadBalancer
  • elasticloadbalancing:RegisterTargets
  • elasticloadbalancing:DeregisterTargets

Identity and Access Management (IAM)

  • iam:PassRole
  • iam:CreateServiceLinkedRole

キー管理サービス (KMS)

  • kms:Decrypt
  • kms:Encrypt
  • kms:GenerateDataKey
  • kms:GenerateDataKeyWithoutPlainText
  • kms:DescribeKey
  • kms:RevokeGrant[1]
  • kms:CreateGrant [1]
  • kms:ListGrants [1]

Machine API Operator

openshift-machine-api-aws

EC2

  • ec2:CreateTags
  • ec2:DescribeAvailabilityZones
  • ec2:DescribeDhcpOptions
  • ec2:DescribeImages
  • ec2:DescribeInstances
  • ec2:DescribeInstanceTypes
  • ec2:DescribeInternetGateways
  • ec2:DescribeSecurityGroups
  • ec2:DescribeRegions
  • ec2:DescribeSubnets
  • ec2:DescribeVpcs
  • ec2:RunInstances
  • ec2:TerminateInstances

Elastic load balancing

  • elasticloadbalancing:DescribeLoadBalancers
  • elasticloadbalancing:DescribeTargetGroups
  • elasticloadbalancing:DescribeTargetHealth
  • elasticloadbalancing:RegisterInstancesWithLoadBalancer
  • elasticloadbalancing:RegisterTargets
  • elasticloadbalancing:DeregisterTargets

Identity and Access Management (IAM)

  • iam:PassRole
  • iam:CreateServiceLinkedRole

キー管理サービス (KMS)

  • kms:Decrypt
  • kms:Encrypt
  • kms:GenerateDataKey
  • kms:GenerateDataKeyWithoutPlainText
  • kms:DescribeKey
  • kms:RevokeGrant[1]
  • kms:CreateGrant [1]
  • kms:ListGrants [1]

Cloud Credential Operator

cloud-credential-operator-iam-ro

Identity and Access Management (IAM)

  • iam:GetUser
  • iam:GetUserPolicy
  • iam:ListAccessKeys

Cluster Image Registry Operator

openshift-image-registry

S3

  • s3:CreateBucket
  • s3:DeleteBucket
  • s3:PutBucketTagging
  • s3:GetBucketTagging
  • s3:PutBucketPublicAccessBlock
  • s3:GetBucketPublicAccessBlock
  • s3:PutEncryptionConfiguration
  • s3:GetEncryptionConfiguration
  • s3:PutLifecycleConfiguration
  • s3:GetLifecycleConfiguration
  • s3:GetBucketLocation
  • s3:ListBucket
  • s3:GetObject
  • s3:PutObject
  • s3:DeleteObject
  • s3:ListBucketMultipartUploads
  • s3:AbortMultipartUpload
  • s3:ListMultipartUploadParts

Ingress Operator

openshift-ingress

Elastic load balancing

  • elasticloadbalancing:DescribeLoadBalancers

Route 53

  • route53:ListHostedZones
  • route53:ListTagsForResources
  • route53:ChangeResourceRecordSets

Tag

  • tag:GetResources

セキュリティートークンサービス (STS)

  • sts:AssumeRole

Cluster Network Operator

openshift-cloud-network-config-controller-aws

EC2

  • ec2:DescribeInstances
  • ec2:DescribeInstanceStatus
  • ec2:DescribeInstanceTypes
  • ec2:UnassignPrivateIpAddresses
  • ec2:AssignPrivateIpAddresses
  • ec2:UnassignIpv6Addresses
  • ec2:AssignIpv6Addresses
  • ec2:DescribeSubnets
  • ec2:DescribeNetworkInterfaces

AWS Elastic Block Store CSI Driver Operator

aws-ebs-csi-driver-operator

EC2

  • ec2:AttachVolume
  • ec2:CreateSnapshot
  • ec2:CreateTags
  • ec2:CreateVolume
  • ec2:DeleteSnapshot
  • ec2:DeleteTags
  • ec2:DeleteVolume
  • ec2:DescribeInstances
  • ec2:DescribeSnapshots
  • ec2:DescribeTags
  • ec2:DescribeVolumes
  • ec2:DescribeVolumesModifications
  • ec2:DetachVolume
  • ec2:ModifyVolume
  • ec2:DescribeAvailabilityZones
  • ec2:EnableFastSnapshotRestores

キー管理サービス (KMS)

  • kms:ReEncrypt*
  • kms:Decrypt
  • kms:Encrypt
  • kms:GenerateDataKey
  • kms:GenerateDataKeyWithoutPlainText
  • kms:DescribeKey
  • kms:RevokeGrant[1]
  • kms:CreateGrant [1]
  • kms:ListGrants [1]
  1. リクエスト条件: kms:GrantIsForAWSResource: true

19.5.1.4. AWS STS による認証に対する OLM 管理 Operator サポート

AWS クラスター上の Operator Lifecycle Manager (OLM) によって管理される特定の Operator は、STS で手動モードを使用できます。これらの Operator は、クラスターの外部で管理される限定された権限の短期認証情報を使用して認証します。Operator が AWS STS による認証をサポートしているかどうかを確認するには、OperatorHub の Operator の説明を参照してください。

19.5.2. GCP Workload Identity

GCP Workload Identity を使用した手動モードでは、個々の OpenShift Container Platform クラスターコンポーネントは GCP Workload Identity プロバイダーを使用して、コンポーネントが短期間の限定された権限の認証情報を使用して GCP サービスアカウントを偽装できるようにします。

19.5.2.1. GCP Workload Identity 認証プロセス

新しい認証情報と更新された認証情報の要求は、適切に設定された OpenID Connect (OIDC) ID プロバイダーと IAM サービスアカウントを組み合わせて使用することで自動化されます。GCP によって信頼されているサービスアカウントトークンは、OpenShift Container Platform によって署名されており、Pod に展開して認証に使用できます。トークンは 1 時間後に更新されます。

次の図は、GCP Workload Identity を使用する場合の GCP と OpenShift Container Platform クラスター間の認証フローを詳しく示しています。

図19.3 GCP Workload ID の認証フロー

GCP Workload ID を使用する場合の GCP とクラスター間の詳細な認証フロー

19.5.2.2. GCP コンポーネントのシークレット形式

GCP Workload Identity で手動モードを使用すると、個々の OpenShift Container Platform コンポーネントに提供される GCP クレデンシャルのコンテンツが変更されます。次のシークレットのコンテンツを比較してください。

GCP シークレットフォーマット

apiVersion: v1
kind: Secret
metadata:
  namespace: <target_namespace> 1
  name: <target_secret_name> 2
data:
  service_account.json: <service_account> 3

1
コンポーネントの namespace。
2
コンポーネントシークレットの名前。
3
Base64 でエンコードされたサービスアカウント。

長期間有効なクレデンシャルを使用した Base64 でエンコードされた service_account.json ファイルのコンテンツ

{
   "type": "service_account", 1
   "project_id": "<project_id>",
   "private_key_id": "<private_key_id>",
   "private_key": "<private_key>", 2
   "client_email": "<client_email_address>",
   "client_id": "<client_id>",
   "auth_uri": "https://accounts.google.com/o/oauth2/auth",
   "token_uri": "https://oauth2.googleapis.com/token",
   "auth_provider_x509_cert_url": "https://www.googleapis.com/oauth2/v1/certs",
   "client_x509_cert_url": "https://www.googleapis.com/robot/v1/metadata/x509/<client_email_address>"
}

1
クレデンシャルの種類は service_account です。
2
GCP への認証に使用される秘密 RSA キー。このキーは安全に保管する必要があり、回転させないでください。

GCP Workload Identity を使用した Base64 でエンコードされた service_account.json ファイルのコンテンツ

{
   "type": "external_account", 1
   "audience": "//iam.googleapis.com/projects/123456789/locations/global/workloadIdentityPools/test-pool/providers/test-provider", 2
   "subject_token_type": "urn:ietf:params:oauth:token-type:jwt",
   "token_url": "https://sts.googleapis.com/v1/token",
   "service_account_impersonation_url": "https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/<client_email_address>:generateAccessToken", 3
   "credential_source": {
      "file": "<path_to_token>", 4
      "format": {
         "type": "text"
      }
   }
}

1
クレデンシャルの種類はexternal_accountです。
2
ターゲットオーディエンスは GCP ワークロード ID プロバイダーです。
3
これらのクレデンシャルで偽装できるサービスアカウントのリソース URL。
4
Pod 内のサービスアカウントトークンへのパス。通常、これは OpenShift Container Platform コンポーネントの /var/run/secrets/openshift/serviceaccount/token です。

19.5.2.3. GCP Workload Identity による認証のための OLM 管理の Operator サポート

GCP クラスター上の Operator Lifecycle Manager (OLM) が管理する特定の Operator は、GCP Workload Identity で手動モードを使用できます。これらの Operator は、クラスターの外部で管理される限定された権限の短期認証情報を使用して認証します。Operator が GCP Workload Identity による認証をサポートしているかどうかを確認するには、OperatorHub の Operator の説明を参照してください。

19.5.2.4. GCP Workload Identity サービスアカウントトークンのアプリケーションサポート

Google Cloud Platform Workload Identity を使用する OpenShift Container Platform クラスター上のカスタマーワークロード内のアプリケーションは、GCP Workload Identity を使用して認証できます。アプリケーションでこの認証方法を使用するには、クラウドプロバイダーコンソールと OpenShift Container Platform クラスターで設定手順を完了する必要があります。

19.5.3. Microsoft Entra Workload ID

Microsoft Entra Workload ID を使用した手動モードでは、個々の OpenShift Container Platform クラスターコンポーネントは、Workload ID プロバイダーを使用して、コンポーネントに短期セキュリティー認証情報を割り当てます。

19.5.3.1. Microsoft Entra Workload ID 認証プロセス

次の図は、Microsoft Entra Workload ID を使用する場合の Azure と OpenShift Container Platform クラスター間の認証フローの詳細を示しています。

図19.4 ワークロード ID 認証フロー

ワークロード ID を使用する場合の Azure とクラスター間の詳細な認証フロー

19.5.3.2. Azure コンポーネントのシークレット形式

Microsoft Entra Workload ID で手動モードを使用すると、個々の OpenShift Container Platform コンポーネントに提供される Azure 認証情報の内容が変更されます。次のシークレット形式を比較してください。

長期認証情報を使用した Azure シークレット形式

apiVersion: v1
kind: Secret
metadata:
  namespace: <target_namespace> 1
  name: <target_secret_name> 2
data:
  azure_client_id: <client_id> 3
  azure_client_secret: <client_secret> 4
  azure_region: <region>
  azure_resource_prefix: <resource_group_prefix> 5
  azure_resourcegroup: <resource_group_prefix>-rg 6
  azure_subscription_id: <subscription_id>
  azure_tenant_id: <tenant_id>
type: Opaque

1
コンポーネントの namespace。
2
コンポーネントシークレットの名前。
3
コンポーネントが認証に使用する Microsoft Entra ID アイデンティティーのクライアント ID。
4
<client_id> アイデンティティーの Microsoft Entra ID による認証に使用されるコンポーネントシークレット。
5
リソースグループの接頭辞。
6
リソースグループ。この値は、<resource_group_prefix> と接尾辞 -rg で形成されます。

Microsoft Entra Workload ID を使用した Azure シークレット形式

apiVersion: v1
kind: Secret
metadata:
  namespace: <target_namespace> 1
  name: <target_secret_name> 2
data:
  azure_client_id: <client_id> 3
  azure_federated_token_file: <path_to_token_file> 4
  azure_region: <region>
  azure_subscription_id: <subscription_id>
  azure_tenant_id: <tenant_id>
type: Opaque

1
コンポーネントの namespace。
2
コンポーネントシークレットの名前。
3
コンポーネントが認証に使用するユーザーが割り当てた管理対象 ID のクライアント ID。
4
マウントされたサービスアカウントトークンファイルへのパス。

19.5.3.3. Azure コンポーネントのシークレット権限の要件

OpenShift Container Platform コンポーネントには次の権限が必要です。これらの値は、各コンポーネントの CredentialsRequest カスタムリソース (CR) にあります。

コンポーネントカスタムリソースサービスに必要な権限

Cloud Controller Manager Operator

openshift-azure-cloud-controller-manager

  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Network/loadBalancers/read
  • Microsoft.Network/loadBalancers/write
  • Microsoft.Network/networkInterfaces/read
  • Microsoft.Network/networkSecurityGroups/read
  • Microsoft.Network/networkSecurityGroups/write
  • Microsoft.Network/publicIPAddresses/join/action
  • Microsoft.Network/publicIPAddresses/read
  • Microsoft.Network/publicIPAddresses/write

Cluster CAPI Operator

openshift-cluster-api-azure

ロール: Contributor [1]

Machine API Operator

openshift-machine-api-azure

  • Microsoft.Compute/availabilitySets/delete
  • Microsoft.Compute/availabilitySets/read
  • Microsoft.Compute/availabilitySets/write
  • Microsoft.Compute/diskEncryptionSets/read
  • Microsoft.Compute/disks/delete
  • Microsoft.Compute/galleries/images/versions/read
  • Microsoft.Compute/skus/read
  • Microsoft.Compute/virtualMachines/delete
  • Microsoft.Compute/virtualMachines/extensions/delete
  • Microsoft.Compute/virtualMachines/extensions/read
  • Microsoft.Compute/virtualMachines/extensions/write
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/write
  • Microsoft.ManagedIdentity/userAssignedIdentities/assign/action
  • Microsoft.Network/applicationSecurityGroups/read
  • Microsoft.Network/loadBalancers/backendAddressPools/join/action
  • Microsoft.Network/loadBalancers/read
  • Microsoft.Network/loadBalancers/write
  • Microsoft.Network/networkInterfaces/delete
  • Microsoft.Network/networkInterfaces/join/action
  • Microsoft.Network/networkInterfaces/loadBalancers/read
  • Microsoft.Network/networkInterfaces/read
  • Microsoft.Network/networkInterfaces/write
  • Microsoft.Network/networkSecurityGroups/read
  • Microsoft.Network/networkSecurityGroups/write
  • Microsoft.Network/publicIPAddresses/delete
  • Microsoft.Network/publicIPAddresses/join/action
  • Microsoft.Network/publicIPAddresses/read
  • Microsoft.Network/publicIPAddresses/write
  • Microsoft.Network/routeTables/read
  • Microsoft.Network/virtualNetworks/delete
  • Microsoft.Network/virtualNetworks/read
  • Microsoft.Network/virtualNetworks/subnets/join/action
  • Microsoft.Network/virtualNetworks/subnets/read
  • Microsoft.Resources/subscriptions/resourceGroups/read

Cluster Image Registry Operator

openshift-image-registry-azure

データ権限

  • Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
  • Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
  • Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
  • Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
  • Microsoft.Storage/storageAccounts/blobServices/containers/blobs/move/action

一般的な権限

  • Microsoft.Storage/storageAccounts/blobServices/read
  • Microsoft.Storage/storageAccounts/blobServices/containers/read
  • Microsoft.Storage/storageAccounts/blobServices/containers/write
  • Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action
  • Microsoft.Storage/storageAccounts/read
  • Microsoft.Storage/storageAccounts/write
  • Microsoft.Storage/storageAccounts/delete
  • Microsoft.Storage/storageAccounts/listKeys/action
  • Microsoft.Resources/tags/write

Ingress Operator

openshift-ingress-azure

  • Microsoft.Network/dnsZones/A/delete
  • Microsoft.Network/dnsZones/A/write
  • Microsoft.Network/privateDnsZones/A/delete
  • Microsoft.Network/privateDnsZones/A/write

Cluster Network Operator

openshift-cloud-network-config-controller-azure

  • Microsoft.Network/networkInterfaces/read
  • Microsoft.Network/networkInterfaces/write
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Network/virtualNetworks/read
  • Microsoft.Network/virtualNetworks/subnets/join/action
  • Microsoft.Network/loadBalancers/backendAddressPools/join/action

Azure File CSI Driver Operator

azure-file-csi-driver-operator

  • Microsoft.Network/networkSecurityGroups/join/action
  • Microsoft.Network/virtualNetworks/subnets/read
  • Microsoft.Network/virtualNetworks/subnets/write
  • Microsoft.Storage/storageAccounts/delete
  • Microsoft.Storage/storageAccounts/fileServices/read
  • Microsoft.Storage/storageAccounts/fileServices/shares/delete
  • Microsoft.Storage/storageAccounts/fileServices/shares/read
  • Microsoft.Storage/storageAccounts/fileServices/shares/write
  • Microsoft.Storage/storageAccounts/listKeys/action
  • Microsoft.Storage/storageAccounts/read
  • Microsoft.Storage/storageAccounts/write

Azure Disk CSI Driver Operator

azure-disk-csi-driver-operator

  • Microsoft.Compute/disks/*
  • Microsoft.Compute/snapshots/*
  • Microsoft.Compute/virtualMachineScaleSets/*/read
  • Microsoft.Compute/virtualMachineScaleSets/read
  • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/write
  • Microsoft.Compute/virtualMachines/*/read
  • Microsoft.Compute/virtualMachines/write
  • Microsoft.Resources/subscriptions/resourceGroups/read
  1. このコンポーネントには、一連の権限ではなくロールが必要です。

19.5.3.4. OLM 管理の Operator による Microsoft Entra Workload ID による認証のサポート

Azure クラスター上の Operator Lifecycle Manager (OLM) が管理する特定の Operator は、Microsoft Entra Workload ID で手動モードを使用できます。これらの Operator は、クラスターの外部で管理される短期認証情報を使用して認証します。Operator が Workload ID による認証をサポートしているかどうかを確認するには、OperatorHub の Operator の説明を参照してください。

19.5.4. 関連情報

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.