5.4. ROSA with HCP の break glass 認証情報の作成
ROSA with HCP クラスターの所有者は、break glass 認証情報を使用して一時的な管理クライアント認証情報を作成し、カスタム OpenID Connect (OIDC) トークン発行者を指定して設定されたクラスターにアクセスできます。Break Glass 認証情報を作成すると、新しい cluster-admin kubeconfig
ファイルが生成されます。kubeconfig
ファイルには、CLI がクライアントを正しいクラスターと API サーバーに接続するために使用するクラスターに関する情報が含まれています。新しく生成された kubeconfig
ファイルを使用して、ROSA with HCP クラスターへのアクセスを許可できます。
前提条件
- 外部認証を有効にした ROSA with HCP クラスターが作成されている。詳細は、外部認証プロバイダーを使用する HCP クラスターを使用した ROSA with HCP の作成 を参照してください。
- 外部認証プロバイダーが作成されている。詳細は、外部認証プロバイダーの作成 を参照してください。
-
cluster admin
権限が割り当てられたアカウントがある。
手順
次のいずれかのコマンドを使用して、Break Glass 認証情報を作成します。
対話型コマンドインターフェイスを使用してカスタム設定を対話的に指定し、ブレークグラス認証情報を作成するには、次のコマンドを実行します。
$ rosa create break-glass-credential -c <cluster_name> -i 1
- 1
- <cluster_name> は、クラスターの名前に置き換えます。
このコマンドは、対話型 CLI プロセスを開始します。
出力例
I: Enabling interactive mode ? Username (optional): 1 ? Expiration duration (optional): 2 I: Successfully created a break glass credential for cluster 'ac-hcp-test'.
指定された値を使用して、
mycluster
というクラスターの Break Glass 認証情報を作成するには以下を実行します。$ rosa create break-glass-credential -c mycluster --username test-username --expiration 1h
次のコマンドを実行して、
mycluster
というクラスターで使用可能な Break Glass 認証情報 ID、ステータス、および関連ユーザーをリスト表示します。$ rosa list break-glass-credential -c mycluster
出力例
ID USERNAME STATUS 2a7jli9n4phe6c02ul7ti91djtv2o51d test-user issued
注記コマンドに
-o json
引数を追加することで、JSON 出力で認証情報を表示することもできます。break glass 認証情報のステータスを表示するには、<break_glass_credential_id> をブレークグラス認証情報 ID に置き換えて、次のコマンドを実行します。
$ rosa describe break-glass-credential <break_glass_credential_id> -c <cluster_name>
出力例
ID: 2a7jli9n4phe6c02ul7ti91djtv2o51d Username: test-user Expire at: Dec 28 2026 10:23:05 EDT Status: issued
Status
フィールドで使用可能な値のリストは次のとおりです。-
issued
break glass 認証情報が発行され、使用できる状態になりました。 -
expired
ブレークグラス認証情報の有効期限が切れているため、使用できなくなりました。 -
failed
ブレークグラス認証情報の作成に失敗しました。この場合、失敗の詳細を示すサービスログが送信されます。サービスログの詳細は、Red Hat OpenShift Service on AWS クラスターのサービスログへのアクセス を参照してください。Red Hat サポートに問い合わせる手順については、サポート を参照してください。 -
awaiting_revocation
break glass 認証情報は現在取り消されているため、使用できません。 -
revoked
break glass 認証情報は取り消されており、使用できなくなりました。
-
kubeconfig
を取得するには、次のコマンドを実行します。kubeconfig
ディレクトリーを作成します。$ mkdir ~/kubeconfigs
新しく生成された
kubeconfig
ファイルをエクスポートします。<cluster_name> はクラスターの名前に置き換えます。$ export CLUSTER_NAME=<cluster_name> && export KUBECONFIG=~/kubeconfigs/break-glass-${CLUSTER_NAME}.kubeconfig
kubeconfig
を表示します。$ rosa describe break-glass-credential <break_glass_credential_id> -c mycluster --kubeconfig
出力例
apiVersion: v1 clusters: - cluster: server: <server_url> name: cluster contexts: - context: cluster: cluster namespace: default user: test-username name: admin current-context: admin kind: Config preferences: {} users: - name: test-user user: client-certificate-data: <client-certificate-data> 1 client-key-data: <client-key-data> 2
オプション:
kubeconfig
を保存するには、次のコマンドを実行します。$ rosa describe break-glass-credential <break_glass_credential_id> -c mycluster --kubeconfig > $KUBECONFIG
関連情報
- 外部認証を有効にした ROSA with HCP クラスターの作成の詳細は、外部認証プロバイダーを使用する ROSA with HCP クラスターの作成 を参照してください。