18.2. Mint 모드 사용
Mint 모드는 AWS(Amazon Web Services), Microsoft Azure, Google Cloud Platform(GCP)에서 지원됩니다.
Mint 모드는 지원되는 플랫폼에서 사용할 CCO(Cloud Credential Operator)에 대한 기본 권장 모범 사례 설정입니다. 이 모드에서 CCO는 제공된 관리자 수준 클라우드 인증 정보를 사용하여 필요한 특정 권한만으로 클러스터의 구성 요소에 대한 새 인증 정보를 생성합니다.
설치 후 인증 정보를 제거하지 않으면 CCO에서 저장하고 사용하여 클러스터의 구성 요소에 대한 CredentialsRequest CR을 처리하고 필요한 특정 권한으로 각각에 대한 새 인증 정보를 생성합니다. mint 모드에서 클라우드 인증 정보의 지속적인 조정을 통해 업그레이드 등을 진행하기 위해 추가 인증 정보 또는 권한이 필요한 작업을 수행할 수 있습니다.
Mint 모드가 클러스터 kube-system 네임스페이스에 관리자 수준 인증 정보를 저장해야 하는 요구 사항이 조직의 보안 요구 사항에 부합하지 않는 경우 AWS, Azure 또는 GCP의 kube-system 프로젝트에서 관리자 수준 시크릿을 저장하는 대안을 참조하십시오.
18.2.1. Mint 모드 권한 요구사항
Mint 모드에서 CCO를 사용하는 경우 제공한 인증 정보가 OpenShift Container Platform을 실행 중이거나 설치하는 클라우드의 요구 사항을 충족하는지 확인하십시오. 제공된 인증 정보가 mint 모드에 충분하지 않으면 CCO에서 IAM 사용자를 생성할 수 없습니다.
18.2.1.1. AWS(Amazon Web Services) 권한
AWS에서 Mint 모드에 제공하는 인증 정보에는 다음과 같은 권한이 있어야 합니다.
-
iam:CreateAccessKey -
iam:CreateUser -
iam:DeleteAccessKey -
iam:DeleteUser -
iam:DeleteUserPolicy -
iam:GetUser -
iam:GetUserPolicy -
iam:ListAccessKeys -
iam:PutUserPolicy -
iam:TagUser -
iam:SimulatePrincipalPolicy
18.2.1.2. Microsoft Azure 권한
Azure에서 Mint 모드에 제공하는 인증 정보에는 서비스 주체 생성에 지정된 권한이 있는 서비스 주체가 있어야 합니다.
18.2.1.3. GCP(Google Cloud Platform) 권한
GCP에서 Mint 모드에 제공하는 인증 정보에는 다음과 같은 권한이 있어야 합니다.
-
resourcemanager.projects.get -
serviceusage.services.list -
iam.serviceAccountKeys.create -
iam.serviceAccountKeys.delete -
iam.serviceAccounts.create -
iam.serviceAccounts.delete -
iam.serviceAccounts.get -
iam.roles.get -
resourcemanager.projects.getIamPolicy -
resourcemanager.projects.setIamPolicy
