3.2. user-role IAM ロールについて
Web UI ユーザーごとに ユーザーロール
IAM ロールを作成して、これらのユーザーが ROSA クラスターを作成できるようにする必要があります。
user-role
IAM ロールに関するいくつかの考慮事項は次のとおりです。
-
Red Hat ユーザーアカウントごとに必要な
user-role
IAM ロールは 1 つだけですが、Red Hat 組織は IAM リソースの多くを持つことができます。 -
Red Hat 組織のすべてのユーザーは、
user-role
IAM ロールを作成してリンクできます。 -
Red Hat 組織の AWS アカウントごとに多数の
user-role
IAM ロールが存在する可能性があります。 -
Red Hat は、
user-role
IAM ロールを使用してユーザーを識別します。この IAM リソースには AWS アカウントのパーミッションがありません。 -
AWS アカウントは複数の
user-role
IAM ロールを指定できますが、各 IAM ロールを Red Hat 組織の各ユーザーにリンクする必要があります。ユーザーには、リンクされたuser-role
IAM ロールを複数指定できません。
IAM リソースを AWS アカウントに "リンクする" または "関連付ける" ことは、user-role
IAM ロールと Red Hat OpenShift Cluster Manager ロールを使用して信頼ポリシーを作成することを意味します。IAM リソースを作成してリンクすると、AWS の user-role
IAM リソースと arn:aws:iam::710019948333:role/RH-Managed-OpenShift-Installer
リソースとの信頼関係が表示されます。
3.2.1. ユーザーロール IAM ロールの作成
コマンドラインインターフェイス (CLI) を使用して、user-role
IAM ロールを作成できます。
前提条件
- AWS アカウントがある。
-
インストールホストに、最新の Red Hat OpenShift Service on AWS (ROSA) CLI (
rosa
) をインストールして設定している。
手順
基本的な権限を持つ
user-role
IAM ロールを作成するには、次のコマンドを実行します。$ rosa create user-role
このコマンドを使用すると、特定の属性を指定してロールを作成できます。次の出力例は、選択された「自動モード」を示しています。これにより、ROSA CLI (
rosa
) で Operator のロールとポリシーを作成できます。詳細は、関連情報の「自動および手動のデプロイメントモードについて」を参照してください。
出力例
I: Creating User role ? Role prefix: ManagedOpenShift 1 ? Permissions boundary ARN (optional): 2 ? Role Path (optional): 3 ? Role creation mode: auto 4 I: Creating ocm user role using 'arn:aws:iam::2066:user' ? Create the 'ManagedOpenShift-User.osdocs-Role' role? Yes 5 I: Created role 'ManagedOpenShift-User.osdocs-Role' with ARN 'arn:aws:iam::2066:role/ManagedOpenShift-User.osdocs-Role' I: Linking User role ? User Role ARN: arn:aws:iam::2066:role/ManagedOpenShift-User.osdocs-Role ? Link the 'arn:aws:iam::2066:role/ManagedOpenShift-User.osdocs-Role' role with account '1AGE'? Yes 6 I: Successfully linked role ARN 'arn:aws:iam::2066:role/ManagedOpenShift-User.osdocs-Role' with account '1AGE'
- 1
- 作成されたすべての AWS リソースの接頭辞値。この例では、
ManagedOpenShift
がすべての AWS リソースを付加します。 - 2
- パーミッション境界を設定するためのポリシーの Amazon Resource Name (ARN)。
- 3
- ユーザー名の IAM パスを指定します。
- 4
- AWS ロールの作成方法を選択します。
auto
を使用して、ROSA CLI はロールおよびポリシーを生成してリンクします。auto
モードでは、AWS ロールを作成するためのいくつかの異なるプロンプトが表示されます。 - 5
auto
メソッドは、接頭辞を使用して特定のuser-role
を作成するかどうかを尋ねます。- 6
- 作成したロールを AWS 組織にリンクします。
クラスターを削除する前に user-role
IAM ロールのリンクを解除または削除すると、エラーが発生してクラスターを削除できなくなります。削除プロセスを続行するには、このロールを作成または再リンクする必要があります。詳細は、削除できないクラスターの修復 を参照してください。