4.2.5. IAM 역할에 필요한 AWS 권한
설치 프로그램에서 생성된 시스템의 인스턴스 프로파일에 적용되는 자체 클라우드 ID 및 액세스 관리(IAM) 역할을 정의하는 옵션이 있습니다. install-config.yaml 파일에서 controlPlane.platform.aws.iamRole 및 compute.platform.aws.iamRole 필드를 정의하여 기존 IAM 역할을 지정할 수 있습니다. 이러한 필드를 사용하여 이름 지정 체계와 일치하고 IAM 역할에 대해 사전 정의된 권한 경계를 포함할 수 있습니다.
컨트롤 플레인 및 컴퓨팅 시스템에는 다음과 같은 IAM 역할 권한이 필요합니다.
예 4.14. 컨트롤 플레인 인스턴스 프로파일에 필요한 IAM 역할 권한
-
sts:AssumeRole -
ec2:AttachVolume -
ec2:AuthorizeSecurityGroupIngress -
ec2:CreateSecurityGroup -
ec2:CreateTags -
ec2:CreateVolume -
ec2:DeleteSecurityGroup -
ec2:DeleteVolume -
ec2:Describe* -
ec2:DetachVolume -
ec2:ModifyInstanceAttribute -
ec2:ModifyVolume -
ec2:RevokeSecurityGroupIngress -
elasticloadbalancing:AddTags -
elasticloadbalancing:AttachLoadBalancerToSubnets -
elasticloadbalancing:ApplySecurityGroupsToLoadBalancer -
elasticloadbalancing:CreateListener -
elasticloadbalancing:CreateLoadBalancer -
elasticloadbalancing:CreateLoadBalancerPolicy -
elasticloadbalancing:CreateLoadBalancerListeners -
elasticloadbalancing:CreateTargetGroup -
elasticloadbalancing:ConfigureHealthCheck -
elasticloadbalancing:DeleteListener -
elasticloadbalancing:DeleteLoadBalancer -
elasticloadbalancing:DeleteLoadBalancerListeners -
elasticloadbalancing:DeleteTargetGroup -
elasticloadbalancing:DeregisterInstancesFromLoadBalancer -
elasticloadbalancing:DeregisterTargets -
elasticloadbalancing:Describe* -
elasticloadbalancing:DetachLoadBalancerFromSubnets -
elasticloadbalancing:ModifyListener -
elasticloadbalancing:ModifyLoadBalancerAttributes -
elasticloadbalancing:ModifyTargetGroup -
elasticloadbalancing:ModifyTargetGroupAttributes -
elasticloadbalancing:RegisterInstancesWithLoadBalancer -
elasticloadbalancing:RegisterTargets -
elasticloadbalancing:SetLoadBalancerPoliciesForBackendServer -
elasticloadbalancing:SetLoadBalancerPoliciesOfListener -
kms:DescribeKey
예 4.15. 컴퓨팅 인스턴스 프로파일에 필요한 IAM 역할 권한
-
sts:AssumeRole -
ec2:DescribeInstances -
ec2:DescribeRegions
