3.2. user-role IAM ロールについて


Web UI ユーザーごとに ユーザーロール IAM ロールを作成して、これらのユーザーが ROSA クラスターを作成できるようにする必要があります。

user-role IAM ロールに関するいくつかの考慮事項は次のとおりです。

  • Red Hat ユーザーアカウントごとに必要な user-role IAM ロールは 1 つだけですが、Red Hat 組織は IAM リソースの多くを持つことができます。
  • Red Hat 組織のすべてのユーザーは、user-role IAM ロールを作成してリンクできます。
  • Red Hat 組織の AWS アカウントごとに多数の user-role IAM ロールが存在する可能性があります。
  • Red Hat は、user-role IAM ロールを使用してユーザーを識別します。この IAM リソースには AWS アカウントのパーミッションがありません。
  • AWS アカウントは複数の user-role IAM ロールを指定できますが、各 IAM ロールを Red Hat 組織の各ユーザーにリンクする必要があります。ユーザーには、リンクされた user-role IAM ロールを複数指定できません。
注記

IAM リソースを AWS アカウントに "リンクする" または "関連付ける" ことは、user-role IAM ロールと Red Hat OpenShift Cluster Manager ロールを使用して信頼ポリシーを作成することを意味します。IAM リソースを作成してリンクすると、AWS の user-role IAM リソースと arn:aws:iam::710019948333:role/RH-Managed-OpenShift-Installer リソースとの信頼関係が表示されます。

3.2.1. ユーザーロール IAM ロールの作成

コマンドラインインターフェイス (CLI) を使用して、user-role IAM ロールを作成できます。

前提条件

  • AWS アカウントがある。
  • インストールホストに、最新の Red Hat OpenShift Service on AWS (ROSA) CLI (rosa) をインストールして設定している。

手順

  • 基本的な権限を持つ user-role IAM ロールを作成するには、次のコマンドを実行します。

    $ rosa create user-role

    このコマンドを使用すると、特定の属性を指定してロールを作成できます。次の出力例は、選択された「自動モード」を示しています。これにより、ROSA CLI (rosa) で Operator のロールとポリシーを作成できます。詳細は、関連情報の「自動および手動のデプロイメントモードについて」を参照してください。

出力例

I: Creating User role
? Role prefix: ManagedOpenShift 1
? Permissions boundary ARN (optional): 2
? Role Path (optional): 3
? Role creation mode: auto 4
I: Creating ocm user role using 'arn:aws:iam::2066:user'
? Create the 'ManagedOpenShift-User.osdocs-Role' role? Yes 5
I: Created role 'ManagedOpenShift-User.osdocs-Role' with ARN 'arn:aws:iam::2066:role/ManagedOpenShift-User.osdocs-Role'
I: Linking User role
? User Role ARN: arn:aws:iam::2066:role/ManagedOpenShift-User.osdocs-Role
? Link the 'arn:aws:iam::2066:role/ManagedOpenShift-User.osdocs-Role' role with account '1AGE'? Yes 6
I: Successfully linked role ARN 'arn:aws:iam::2066:role/ManagedOpenShift-User.osdocs-Role' with account '1AGE'

1
作成されたすべての AWS リソースの接頭辞値。この例では、ManagedOpenShift がすべての AWS リソースを付加します。
2
パーミッション境界を設定するためのポリシーの Amazon Resource Name (ARN)。
3
ユーザー名の IAM パスを指定します。
4
AWS ロールの作成方法を選択します。auto を使用して、ROSA CLI はロールおよびポリシーを生成してリンクします。auto モードでは、AWS ロールを作成するためのいくつかの異なるプロンプトが表示されます。
5
auto メソッドは、接頭辞を使用して特定の user-role を作成するかどうかを尋ねます。
6
作成したロールを AWS 組織にリンクします。
重要

クラスターを削除する前に user-role IAM ロールのリンクを解除または削除すると、エラーが発生してクラスターを削除できなくなります。削除プロセスを続行するには、このロールを作成または再リンクする必要があります。詳細は、削除できないクラスターの修復 を参照してください。

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.