第3章 AWS STS と ROSA with HCP の説明

ROSA with HCP の一環として、AWS アカウント内のインフラストラクチャーリソースを管理するのに必要な権限を Red Hat に付与する必要があります。ROSA with HCP の IAM STS ポリシーは、クラスターの自動化ソフトウェアに、AWS アカウント内のリソースへの限定的な短期アクセスを許可します。

STS 方式では、事前定義されたロールとポリシーを使用して、IAM ロールに一時的な最小限の権限を付与します。通常、認証情報は要求されてから 1 時間後に期限切れになります。有効期限が切れると、認証情報は AWS によって認識されなくなり、その認証情報を使用して API 要求を実行するためにアカウントにアクセスできなくなります。詳細は、AWS のドキュメント を参照してください。

AWS IAM の STS ロールは、ROSA クラスターごとに作成する必要があります。ROSA コマンドラインインターフェイス (CLI) (rosa) は、STS ロールを管理し、ROSA 固有の AWS 管理ポリシーを各ロールにアタッチするのに役立ちます。CLI には、ロールを作成し、AWS 管理ポリシーをアタッチするためのコマンドとファイル、および CLI が自動的にロールを作成してポリシーをアタッチできるようにするオプションが用意されています。または、ROSA CLI では、ロールを準備し、ROSA 固有の AWS 管理ポリシーをアタッチするためのコンテンツを利用することもできます。