ホーム
製品
Red Hat OpenShift Service on AWS
4
クラスターのインストール
8.4. Red Hat OpenShift Service on AWS クラスターのブレークグラス認証情報の作成

8.4. Red Hat OpenShift Service on AWS クラスターのブレークグラス認証情報の作成

Red Hat OpenShift Service on AWS クラスターの所有者は、ブレークグラス (緊急アクセス用の) 認証情報を使用することで、カスタム OpenID Connect (OIDC) トークン発行者が設定されたクラスターにアクセスするための一時的な管理クライアント認証情報を作成できます。ブレークグラス認証情報を作成すると、新しい cluster-admin 権限の kubeconfig ファイルが生成されます。kubeconfig ファイルには、CLI がクライアントを正しいクラスターと API サーバーに接続するために使用するクラスターに関する情報が含まれています。新しく生成された kubeconfig ファイルを使用して、Red Hat OpenShift Service on AWS クラスターへのアクセスを許可できます。

前提条件

外部認証が有効な Red Hat OpenShift Service on AWS クラスターを作成した。詳細は、外部認証プロバイダーを使用する Red Hat OpenShift Service on AWS with HCP の作成 を参照してください。
外部認証プロバイダーが作成されている。詳細は、外部認証プロバイダーの作成 を参照してください。
cluster admin 権限が割り当てられたアカウントがある。

手順

次のいずれかのコマンドを使用して、ブレークグラス認証情報を作成します。
- 対話型コマンドインターフェイスを使用してカスタム設定を対話的に指定し、ブレークグラス認証情報を作成するには、次のコマンドを実行します。
  $ rosa create break-glass-credential -c <cluster_name> -i
  1
  1
  <cluster_name> は、クラスターの名前に置き換えます。
  このコマンドは、対話型 CLI プロセスを開始します。
  出力例
  I: Enabling interactive mode ? Username (optional):
  1
  ? Expiration duration (optional):
  2
  I: Successfully created a break glass credential for cluster 'ac-hcp-test'.
  1
  空白のままにすると、username の値は無作為に生成されたユーザー名の値になります。
  2
  ブレークグラス認証情報の最小有効期間は 10 分、最大有効期間は 24 時間です。空白のままにすると、有効期限の値はデフォルトで 24 時間になります。
- 値を指定して、mycluster という名前のクラスターのブレークグラス認証情報を作成するには、次のコマンドを実行します。
  $ rosa create break-glass-credential -c mycluster --username test-username --expiration 1h
次のコマンドを実行して、mycluster という名前のクラスターで使用できるブレークグラス認証情報の ID、ステータス、および関連ユーザーをリスト表示します。
```
$ rosa list break-glass-credential -c mycluster
```
出力例
```
ID                                USERNAME    STATUS
2a7jli9n4phe6c02ul7ti91djtv2o51d  test-user   issued
```
注記
コマンドに -o json 引数を追加することで、JSON 出力で認証情報を表示することもできます。
ブレークグラス認証情報のステータスを表示するには、<break_glass_credential_id> をブレークグラス認証情報の ID に置き換えて、次のコマンドを実行します。
```
$ rosa describe break-glass-credential <break_glass_credential_id> -c <cluster_name>
```
出力例
```
ID:                                    2a7jli9n4phe6c02ul7ti91djtv2o51d
Username:                              test-user
Expire at:                             Dec 28 2026 10:23:05 EDT
Status:                                issued
```
Status フィールドで使用可能な値のリストは次のとおりです。
- issued ブレークグラス認証情報が発行され、使用できる状態になっています。
- expired ブレークグラス認証情報の有効期限が切れているため、使用できなくなりました。
- failed ブレークグラス認証情報の作成に失敗しました。この場合、失敗の詳細を示すサービスログが送信されます。サービスログの詳細は、Red Hat OpenShift Service on AWS クラスターのサービスログへのアクセス を参照してください。Red Hat サポートに問い合わせる手順は、サポート を参照してください。
- awaiting_revocation ブレークグラス認証情報は現在取り消し中であるため、使用できません。
- revoked ブレークグラス認証情報は取り消されており、使用できなくなりました。

kubeconfig を取得するには、次のコマンドを実行します。

kubeconfigs ディレクトリーを作成します。
```
$ mkdir ~/kubeconfigs
```
新しく生成された kubeconfig ファイルをエクスポートします。<cluster_name> はクラスターの名前に置き換えます。
```
$ export CLUSTER_NAME=<cluster_name> && export KUBECONFIG=~/kubeconfigs/break-glass-${CLUSTER_NAME}.kubeconfig
```

kubeconfig を表示します。

$ rosa describe break-glass-credential <break_glass_credential_id> -c mycluster --kubeconfig

出力例

apiVersion: v1
clusters:
- cluster:
    server: <server_url>
  name: cluster
contexts:
- context:
    cluster: cluster
    namespace: default
    user: test-username
  name: admin
current-context: admin
kind: Config
preferences: {}
users:
- name: test-user
  user:
    client-certificate-data: <client-certificate-data>


    client-key-data: <client-key-data>

1: クライアント証明書には、Kubernetes 証明局 (CA) によって署名されたユーザーの証明書が含まれています。
2: client-key には、クライアント証明書に署名したキーが含まれます。

オプション: kubeconfig を保存するには、次のコマンドを実行します。

$ rosa describe break-glass-credential <break_glass_credential_id> -c mycluster --kubeconfig > $KUBECONFIG

8.4. Red Hat OpenShift Service on AWS クラスターのブレークグラス認証情報の作成

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links