セキュリティーおよびコンプライアンス

Red Hat OpenShift Service on AWS 4

AWS クラスターの Security Context Constraints の設定

Red Hat OpenShift Documentation Team

法律上の通知

概要

このガイドでは、セキュリティーコンテキスト制約を設定する手順を説明します。

第1章 IP ベースの AWS ロールを引き受けるための追加制約を追加する
リンクのコピー

AWS アカウントに追加のセキュリティーレイヤーを実装して、許可リストに登録されていない IP アドレスからロールを引き受けないようにできます。

1.1. アイデンティティベースの IAM ポリシーを作成する
リンクのコピー

Red Hat が提供する IP 以外の IP アドレスから要求が発信された場合に、すべての AWS アクションへのアクセスを拒否する、アイデンティティベースの Identity and Access Management (IAM) ポリシーを作成できます。

前提条件

IAM ポリシーの作成および変更に必要な権限を持ち、AWS Management Console にアクセスできる。

手順

AWS アカウントの認証情報を使用して AWS マネジメントコンソールにサインインします。
IAM サービスに移動します。
IAM コンソールで、左側のナビゲーションメニューから Policies を選択します。
Create policy をクリックします。
JSON タブを選択して、JSON 形式を使用してポリシーを定義します。
JSON ポリシードキュメントに入力する必要がある IP アドレスを取得するには、次のコマンドを実行します。
```
ocm get /api/clusters_mgmt/v1/trusted_ip_addresses
```
```
$ ocm get /api/clusters_mgmt/v1/trusted_ip_addresses
```
Copy to Clipboard Toggle word wrap
注記
これらの IP アドレスは永続的なものではなく、変更される可能性があります。API 出力を継続的に確認し、JSON ポリシードキュメントで必要な更新を行う必要があります。

次の policy_document.json ファイルをコピーし、エディターに貼り付けます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": []
                },
                "Bool": {
                    "aws:ViaAWSService": "false"
                }
            }
        }
    ]
}

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": []
                },
                "Bool": {
                    "aws:ViaAWSService": "false"
                }
            }
        }
    ]
}

Copy to Clipboard

Toggle word wrap

手順 6 で取得したすべての IP アドレスをコピーし、policy_document.json ファイルの "aws:SourceIp": [] 配列に貼り付けます。
Review and create をクリックします。
ポリシーの名前と説明を入力し、詳細が正確であることを確認します。
Create policy をクリックしてポリシーを保存します。

注記

最初の呼び出しに基づいて後続の呼び出しが成功するためには、条件キー aws:ViaAWSService を false に設定する必要があります。たとえば、aws ec2 describe-instances への初回呼び出し時に条件キー aws:ViaAWSService が false に設定されていない場合は、ec2 インスタンスにアタッチされている EBS ボリュームに関する情報を取得するために AWS API サーバー内で実行される後続の呼び出しはすべて失敗します。後続の呼び出しは、AllowList に含まれない AWS IP アドレスから発信されるため、失敗します。

1.2. アイデンティティベースの IAM ポリシーのアタッチ
リンクのコピー

アイデンティティベースの IAM ポリシーを作成したら、それを AWS アカウント内の関連する IAM ユーザー、グループ、またはロールにアタッチして、これらのエンティティーが IP ベースのロールを引き受けないようにします。

手順

AWS マネジメントコンソールの IAM コンソールに移動します。
ポリシーのアタッチ先となるデフォルトの IAM ManagedOpenShift-Support-Role ロールを選択します。
注記
デフォルトの IAM ManagedOpenShift-Support-Role ロールは変更できます。ロールの詳細は、Red Hat サポートのアクセスを参照してください。
Permissions タブで、Add Permissions ドロップダウンリストから Add Permissions または Create inline policy を選択します。
以下を実行して、作成したポリシーを検索します。
1. ポリシー名を入力します。
2. 適切なカテゴリーでフィルタリングします。
ポリシーを選択し、Attach policy をクリックします。

重要

IP ベースのロールの引き受けを効果的に防止するには、許可リストに登録された IP を最新の状態に保つ必要があります。これを行わないと、Red Hat Site Reliability Engineer (SRE) がアカウントにアクセスできなくなり、SLA に影響を与える可能性があります。さらにご質問がある場合、またはサポートが必要な場合は、サポートチームにお問い合わせください。

Legal Notice
リンクのコピー

OpenShift documentation is licensed under the Apache License 2.0 (https://www.apache.org/licenses/LICENSE-2.0).

Modified versions must remove all Red Hat trademarks.

Portions adapted from https://github.com/kubernetes-incubator/service-catalog/ with modifications by Red Hat.

Red Hat, Red Hat Enterprise Linux, the Red Hat logo, the Shadowman logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.

Linux® is the registered trademark of Linus Torvalds in the United States and other countries.

Java® is a registered trademark of Oracle and/or its affiliates.

XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.

MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.

Node.js® is an official trademark of Joyent. Red Hat Software Collections is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.

The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation’s permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.

All other trademarks are the property of their respective owners.

トップに戻る

セキュリティーおよびコンプライアンス

AWS クラスターの Security Context Constraints の設定

第1章 IP ベースの AWS ロールを引き受けるための追加制約を追加する
リンクのコピー

1.1. アイデンティティベースの IAM ポリシーを作成する
リンクのコピー

1.2. アイデンティティベースの IAM ポリシーのアタッチ
リンクのコピー

Legal Notice
リンクのコピー

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

セキュリティーおよびコンプライアンス

AWS クラスターの Security Context Constraints の設定

第1章 IP ベースの AWS ロールを引き受けるための追加制約を追加するリンクのコピーリンクがクリップボードにコピーされました!

1.1. アイデンティティベースの IAM ポリシーを作成するリンクのコピーリンクがクリップボードにコピーされました!

1.2. アイデンティティベースの IAM ポリシーのアタッチリンクのコピーリンクがクリップボードにコピーされました!

Legal Notice リンクのコピーリンクがクリップボードにコピーされました!

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第1章 IP ベースの AWS ロールを引き受けるための追加制約を追加する
リンクのコピー

1.1. アイデンティティベースの IAM ポリシーを作成する
リンクのコピー

1.2. アイデンティティベースの IAM ポリシーのアタッチ
リンクのコピー

Legal Notice
リンクのコピー