Red Hat Summit10.2. アカウント全体の IAM リソースの削除
アカウント全体の AWS Identity and Access Management (IAM) リソースに依存する Red Hat OpenShift Service on AWS クラスターを削除したら、アカウント全体のリソースを削除できます。
Red Hat OpenShift Cluster Manager を使用して Red Hat OpenShift Service on AWS クラスターをインストールする必要がなくなった場合は、OpenShift Cluster Manager とユーザーの IAM ロールを削除することもできます。
アカウント全体の IAM ロールとポリシーは、同じ AWS アカウント内の他の Red Hat OpenShift Service on AWS クラスターによって使用される可能性があります。他のクラスターで必要でない場合にのみリソースを削除します。
OpenShift Cluster Manager を使用して同じ AWS アカウント内の他の Red Hat OpenShift Service on AWS クラスターをインストール、管理、および削除する場合は、OpenShift Cluster Manager とユーザーの IAM ロールが必要です。OpenShift Cluster Manager を使用してアカウントに Red Hat OpenShift Service on AWS クラスターをインストールする必要がなくなった場合にのみ、ロールを削除してください。削除前にこれらのロールが削除された場合にクラスターを修復する方法は、クラスターのデプロイメントのトラブルシューティング の「削除できないクラスターの修復」を参照してください。
10.2.1. アカウント全体の IAM ロールとポリシーの削除
このセクションでは、Red Hat OpenShift Service on AWS デプロイメント用に作成したアカウント全体の IAM ロールとポリシー、およびアカウント全体の Operator ポリシーを削除する手順を説明します。アカウント全体の AWS Identity and Access Management (IAM) ロールとポリシーは、それらに依存するすべての Red Hat OpenShift Service on AWS クラスターを削除した後にのみ削除できます。
アカウント全体の IAM ロールとポリシーは、同じ AWS アカウント内の他の Red Hat OpenShift Service on AWS クラスターによって使用される可能性があります。ロールは、他のクラスターで必要とされていない場合にのみ削除してください。
前提条件
- 削除するアカウント全体の IAM ロールがある。
-
インストールホストに最新の ROSA CLI (
rosa) をインストールして設定した。
手順
アカウント全体のロールを削除します。
ROSA CLI (
rosa) を使用して、AWS アカウントのアカウント全体のロールをリスト表示します。rosa list account-roles
$ rosa list account-rolesCopy to Clipboard Copied! Toggle word wrap Toggle overflow 出力例
I: Fetching account roles ROLE NAME ROLE TYPE ROLE ARN OPENSHIFT VERSION AWS Managed ManagedOpenShift-HCP-ROSA-Installer-Role Installer arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-HCP-ROSA-Installer-Role 4.19 Yes ManagedOpenShift-HCP-ROSA-Support-Role Support arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-HCP-ROSA-Support-Role 4.19 Yes ManagedOpenShift-HCP-ROSA-Worker-Role Worker arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-HCP-ROSA-Worker-Role 4.19 Yes
I: Fetching account roles ROLE NAME ROLE TYPE ROLE ARN OPENSHIFT VERSION AWS Managed ManagedOpenShift-HCP-ROSA-Installer-Role Installer arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-HCP-ROSA-Installer-Role 4.19 Yes ManagedOpenShift-HCP-ROSA-Support-Role Support arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-HCP-ROSA-Support-Role 4.19 Yes ManagedOpenShift-HCP-ROSA-Worker-Role Worker arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-HCP-ROSA-Worker-Role 4.19 YesCopy to Clipboard Copied! Toggle word wrap Toggle overflow 次のいずれかのコマンドを実行して、アカウント全体のロールを削除します。
共有 Virtual Private Cloud (VPC) がないクラスターの場合:
rosa delete account-roles --prefix <prefix> --mode auto
$ rosa delete account-roles --prefix <prefix> --mode auto1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- その際、
--<prefix>引数を含める必要があります。<prefix>を削除するアカウント全体のロールの接頭辞に置き換えてください。アカウント全体のロールを作成したときにカスタム接頭辞を指定しなかった場合は、デフォルトの接頭辞であるManagedOpenShiftを指定します。
共有 VPC があるクラスターの場合:
rosa delete account-roles --prefix <prefix> --delete-hosted-shared-vpc-policies --mode auto
$ rosa delete account-roles --prefix <prefix> --delete-hosted-shared-vpc-policies --mode auto1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- その際、
--<prefix>引数を含める必要があります。<prefix>を削除するアカウント全体のロールの接頭辞に置き換えてください。アカウント全体のロールを作成したときにカスタム接頭辞を指定しなかった場合は、デフォルトの接頭辞であるManagedOpenShiftを指定します。
重要アカウント全体の IAM ロールは、同じ AWS アカウント内の他の Red Hat OpenShift Service on AWS クラスターによって使用される可能性があります。ロールは、他のクラスターで必要とされていない場合にのみ削除してください。
出力例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
アカウント全体のインラインポリシーと Operator ポリシーを削除します。
AWS IAM Console の Policies ページで、アカウント全体のロールとポリシーを作成したときに指定した接頭辞でポリシーのリストをフィルタリングします。
注記アカウント全体のロールを作成したときにカスタム接頭辞を指定しなかった場合は、デフォルトの接頭辞である
ManagedOpenShiftを検索します。AWS IAM コンソール を使用して、アカウント全体のポリシーと Operator ポリシーを削除します。AWS IAM コンソールを使用して IAM ポリシーを削除する方法の詳細は、AWS ドキュメントの IAM ポリシーの削除 を参照してください。
重要アカウント全体の IAM ポリシーと Operator IAM ポリシーは、同じ AWS アカウント内の他の Red Hat OpenShift Service on AWS クラスターによって使用される可能性があります。ロールは、他のクラスターで必要とされていない場合にのみ削除してください。
10.2.2. OpenShift Cluster Manager およびユーザー IAM ロールのリンク解除と削除
Red Hat OpenShift Cluster Manager を使用して Red Hat OpenShift Service on AWS クラスターをインストールすると、OpenShift Cluster Manager と、Red Hat 組織にリンクするユーザーアイデンティティーおよびアクセス管理 (IAM) ロールも作成されます。クラスターを削除した後、ROSA CLI (rosa) を使用して、ロールのリンクを解除して削除できます。
OpenShift Cluster Manager を使用して同じ AWS アカウント内の他の Red Hat OpenShift Service on AWS クラスターをインストールおよび管理する必要がある場合は、OpenShift Cluster Manager とユーザーの IAM ロールが必要です。ロールの削除は、OpenShift Cluster Manager を使用して Red Hat OpenShift Service on AWS クラスターをインストールする必要がなくなった場合にのみ行ってください。
前提条件
- OpenShift Cluster Manager とユーザー IAM ロールを作成し、それらを Red Hat 組織にリンクした。
-
インストールホストに最新の ROSA CLI (
rosa) をインストールして設定した。 - Red Hat 組織で組織管理者権限がある。
手順
Red Hat 組織から OpenShift Cluster Manager IAM ロールのリンクを解除し、ロールを削除します。
AWS アカウントで OpenShift Cluster Manager IAM ロールをリスト表示します。
rosa list ocm-roles
$ rosa list ocm-rolesCopy to Clipboard Copied! Toggle word wrap Toggle overflow 出力例
I: Fetching ocm roles ROLE NAME ROLE ARN LINKED ADMIN AWS Managed ManagedOpenShift-OCM-Role-<red_hat_organization_external_id> arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-OCM-Role-<red_hat_organization_external_id> Yes Yes Yes
I: Fetching ocm roles ROLE NAME ROLE ARN LINKED ADMIN AWS Managed ManagedOpenShift-OCM-Role-<red_hat_organization_external_id> arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-OCM-Role-<red_hat_organization_external_id> Yes Yes YesCopy to Clipboard Copied! Toggle word wrap Toggle overflow 上記のコマンドの出力で OpenShift Cluster Manager IAM ロールがリンク済みとしてリストされている場合は、次のコマンドを実行して、Red Hat 組織からロールのリンクを解除します。
rosa unlink ocm-role --role-arn <arn>
$ rosa unlink ocm-role --role-arn <arn>1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
<arn>を OpenShift Cluster Manager IAM ロールの Amazon Resource Name (ARN) に置き換えます。ARN は、前のコマンドの出力で指定されます。上記の例では、ARN の形式はarn:aws:iam::<aws_account_id>:role/ManagedOpenShift-OCM-Role-<red_hat_organization_external_id>です。
出力例
I: Unlinking OCM role ? Unlink the 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-OCM-Role-<red_hat_organization_external_id>' role from organization '<red_hat_organization_id>'? Yes I: Successfully unlinked role-arn 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-OCM-Role-<red_hat_organization_external_id>' from organization account '<red_hat_organization_id>'
I: Unlinking OCM role ? Unlink the 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-OCM-Role-<red_hat_organization_external_id>' role from organization '<red_hat_organization_id>'? Yes I: Successfully unlinked role-arn 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-OCM-Role-<red_hat_organization_external_id>' from organization account '<red_hat_organization_id>'Copy to Clipboard Copied! Toggle word wrap Toggle overflow OpenShift Cluster Manager IAM のロールとポリシーを削除します。
rosa delete ocm-role --role-arn <arn>
$ rosa delete ocm-role --role-arn <arn>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 出力例
I: Deleting OCM role ? OCM Role ARN: arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-OCM-Role-<red_hat_organization_external_id> ? Delete 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-OCM-Role-<red_hat_organization_external_id>' ocm role? Yes ? OCM role deletion mode: auto I: Successfully deleted the OCM role
I: Deleting OCM role ? OCM Role ARN: arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-OCM-Role-<red_hat_organization_external_id> ? Delete 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-OCM-Role-<red_hat_organization_external_id>' ocm role? Yes ? OCM role deletion mode: auto1 I: Successfully deleted the OCM roleCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- 削除モードを指定します。
autoモードを使用して、OpenShift Cluster Manager IAM ロールとポリシーを自動的に削除できます。manualモードでは、ROSA CLI はロールとポリシーを削除するために必要なawsコマンドを生成します。manualモードでは、awsコマンドを手動で実行する前に詳細を確認することができます。
Red Hat 組織からユーザー IAM ロールのリンクを解除し、ロールを削除します。
AWS アカウントのユーザー IAM ロールをリスト表示します。
rosa list user-roles
$ rosa list user-rolesCopy to Clipboard Copied! Toggle word wrap Toggle overflow 出力例
I: Fetching user roles ROLE NAME ROLE ARN LINKED ManagedOpenShift-User-<ocm_user_name>-Role arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-User-<ocm_user_name>-Role Yes
I: Fetching user roles ROLE NAME ROLE ARN LINKED ManagedOpenShift-User-<ocm_user_name>-Role arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-User-<ocm_user_name>-Role YesCopy to Clipboard Copied! Toggle word wrap Toggle overflow 上記のコマンドの出力にユーザー IAM ロールがリンクされていると表示されている場合は、Red Hat 組織からロールのリンクを解除します。
rosa unlink user-role --role-arn <arn>
$ rosa unlink user-role --role-arn <arn>1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
<arn>をユーザー IAM ロールの Amazon Resource Name (ARN) に置き換えます。ARN は、前のコマンドの出力で指定されます。前の例では、ARN の形式はarn:aws:iam::<aws_account_id>:role/ManagedOpenShift-User-<ocm_user_name>-Roleです。
出力例
I: Unlinking user role ? Unlink the 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-User-<ocm_user_name>-Role' role from the current account '<ocm_user_account_id>'? Yes I: Successfully unlinked role ARN 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-User-<ocm_user_name>-Role' from account '<ocm_user_account_id>'
I: Unlinking user role ? Unlink the 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-User-<ocm_user_name>-Role' role from the current account '<ocm_user_account_id>'? Yes I: Successfully unlinked role ARN 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-User-<ocm_user_name>-Role' from account '<ocm_user_account_id>'Copy to Clipboard Copied! Toggle word wrap Toggle overflow ユーザー IAM ロールを削除します。
rosa delete user-role --role-arn <arn>
$ rosa delete user-role --role-arn <arn>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 出力例
I: Deleting user role ? User Role ARN: arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-User-<ocm_user_name>-Role ? Delete the 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-User-<ocm_user_name>-Role' role from the AWS account? Yes ? User role deletion mode: auto I: Successfully deleted the user role
I: Deleting user role ? User Role ARN: arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-User-<ocm_user_name>-Role ? Delete the 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-User-<ocm_user_name>-Role' role from the AWS account? Yes ? User role deletion mode: auto1 I: Successfully deleted the user roleCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- 削除モードを指定します。
autoモードを使用して、ユーザー IAM ロールを自動的に削除できます。manualモードでは、ROSA CLI はロールを削除するために必要なawsコマンドを生成します。manualモードでは、awsコマンドを手動で実行する前に詳細を確認できます。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}