2.3. IAM ロールとポリシーの ARN パスのカスタマイズ
AWS Security Token Service (STS) を使用する Red Hat OpenShift Service on AWS (ROSA) クラスターに必要な AWS IAM ロールとポリシーを作成するときに、カスタムの Amazon リソースネーム (ARN) パスを指定できます。これにより、組織のセキュリティー要件を満たすロールとポリシーの ARN パスを使用できます。
OCM ロール、ユーザーロール、およびアカウント全体のロールとポリシーを作成するときに、カスタム ARN パスを指定できます。
アカウント全体のロールとポリシーのセットを作成するときにカスタム ARN パスを定義すると、セット内のすべてのロールとポリシーに同じパスが適用されます。次の例は、アカウント全体のロールとポリシーのセットの ARN を示しています。この例では、ARN はカスタムパス /test/path/dev/
とカスタムロール接頭辞 test-env
を使用します。
-
arn:aws:iam::<account_id>:role/test/path/dev/test-env-Worker-Role
-
arn:aws:iam::<account_id>:role/test/path/dev/test-env-Support-Role
-
arn:aws:iam::<account_id>:role/test/path/dev/test-env-Installer-Role
-
arn:aws:iam::<account_id>:role/test/path/dev/test-env-ControlPlane-Role
-
arn:aws:iam::<account_id>:policy/test/path/dev/test-env-Worker-Role-Policy
-
arn:aws:iam::<account_id>:policy/test/path/dev/test-env-Support-Role-Policy
-
arn:aws:iam::<account_id>:policy/test/path/dev/test-env-Installer-Role-Policy
-
arn:aws:iam::<account_id>:policy/test/path/dev/test-env-ControlPlane-Role-Policy
クラスター固有の Operator ロールを作成すると、関連するアカウント全体のインストーラーロールの ARN パスが自動的に検出され、Operator ロールに適用されます。
ARN パスの詳細は、AWS ドキュメントの Amazon リソースネーム (ARN) を参照してください。
関連情報
- Red Hat OpenShift Service on AWS クラスターを作成するときに IAM リソースのカスタム ARN パスを指定する手順については、カスタマイズを使用したクラスターの作成 を参照してください。