8.5. ROSA CLI 명령에 대한 권한 권한 최소


최소 권한 주체를 준수하는 권한을 사용하여 역할을 생성할 수 있으며, 이 경우 역할을 할당한 사용자에게 수행해야 하는 특정 작업 범위 이상으로 다른 권한이 할당되지 않습니다. 이러한 정책에는 ROSA(Red Hat OpenShift Service on AWS) CLI(명령줄 인터페이스)를 사용하여 특정 작업을 수행하는 데 필요한 최소 권한만 포함됩니다.

중요

이 항목에 제공된 정책 및 명령이 서로 함께 작동하지만 AWS 환경 내에 특정 요구 사항에 따라 이러한 명령에 대한 정책이 충분하지 않을 수 있습니다. Red Hat은 다른 AWS Identity and Access Management(IAM) 제한이 없는 경우 기준선으로 이러한 예제를 제공합니다.

참고

나열된 예제에서는 가장 일반적인 ROSA CLI 명령 몇 가지를 다룹니다. ROSA CLI 명령에 대한 자세한 내용은 공통 명령 및 인수를 참조하십시오.

AWS 콘솔에서 권한, 정책 및 역할을 구성하는 방법에 대한 자세한 내용은 AWS 문서의 AWS Identity and Access Management 를 참조하십시오.

8.5.1. 일반적인 ROSA CLI 명령에 대한 권한 권한 최소

나열된 ROSA CLI 명령에 필요한 다음과 같은 최소 권한은 호스팅된 컨트롤 플레인(HCP) 및 클래식 클러스터에 적용할 수 있습니다.

8.5.1.1. 관리형 OpenID Connect(OIDC) 공급자 생성

지정된 권한으로 다음 명령을 실행하여 자동 모드를 사용하여 관리되는 OIDC 공급자를 생성합니다.

입력

$ rosa create oidc-config --mode auto

정책

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateOidcConfig",
            "Effect": "Allow",
            "Action": [
                "iam:TagOpenIDConnectProvider",
                "iam:CreateOpenIDConnectProvider"
            ],
            "Resource": "*"
        }
    ]
}

8.5.1.2. 관리되지 않는 OpenID Connect 공급자 생성

지정된 권한으로 다음 명령을 실행하여 자동 모드를 사용하여 관리되지 않는 OIDC 공급자를 생성합니다.

입력

$ rosa create oidc-config --mode auto --managed=false

정책

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:TagOpenIDConnectProvider",
                "iam:ListRoleTags",
                "iam:ListRoles",
                "iam:CreateOpenIDConnectProvider",
                "s3:CreateBucket",
                "s3:PutObject",
                "s3:PutBucketTagging",
                "s3:PutBucketPolicy",
                "s3:PutObjectTagging",
                "s3:PutBucketPublicAccessBlock",
                "secretsmanager:CreateSecret",
                "secretsmanager:TagResource"
            ],
            "Resource": "*"
        }
    ]
}

8.5.1.3. 계정 역할 나열

지정된 권한으로 다음 명령을 실행하여 계정 역할을 나열합니다.

입력

$ rosa list account-roles

정책

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ListAccountRoles",
            "Effect": "Allow",
            "Action": [
                "iam:ListRoleTags",
                "iam:ListRoles"
            ],
            "Resource": "*"
        }
    ]
}

8.5.1.4. Operator 역할 나열

지정된 권한으로 다음 명령을 실행하여 Operator 역할을 나열합니다.

입력

$ rosa list operator-roles

정책

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ListOperatorRoles",
            "Effect": "Allow",
            "Action": [
                "iam:ListRoleTags",
                "iam:ListAttachedRolePolicies",
                "iam:ListRoles",
                "iam:ListPolicyTags"
            ],
            "Resource": "*"
        }
    ]
}

8.5.1.5. OIDC 공급자 나열

지정된 권한으로 다음 명령을 실행하여 OIDC 공급자를 나열합니다.

입력

$ rosa list oidc-providers

정책

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ListOidcProviders",
            "Effect": "Allow",
            "Action": [
                "iam:ListOpenIDConnectProviders",
                "iam:ListOpenIDConnectProviderTags"
            ],
            "Resource": "*"
        }
    ]
}

8.5.1.6. 할당량 확인

지정된 권한으로 다음 명령을 실행하여 할당량을 확인합니다.

입력

$ rosa verify quota

정책

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VerifyQuota",
            "Effect": "Allow",
            "Action": [
                "elasticloadbalancing:DescribeAccountLimits",
                "servicequotas:ListServiceQuotas"
            ],
            "Resource": "*"
        }
    ]
}

8.5.1.7. 관리 OIDC 구성 삭제

지정된 권한으로 다음 명령을 실행하여 자동 모드를 사용하여 관리되는 OIDC 구성을 삭제합니다.

입력

$ rosa delete oidc-config -–mode auto

정책

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DeleteOidcConfig",
            "Effect": "Allow",
            "Action": [
                "iam:ListOpenIDConnectProviders",
                "iam:DeleteOpenIDConnectProvider"
            ],
            "Resource": "*"
        }
    ]
}

8.5.1.8. 관리되지 않는 OIDC 구성 삭제

지정된 권한으로 다음 명령을 실행하여 자동 모드를 사용하여 관리되지 않는 OIDC 구성을 삭제합니다.

입력

$ rosa delete oidc-config -–mode auto

정책

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "iam:ListOpenIDConnectProviders",
                "iam:DeleteOpenIDConnectProvider",
                "secretsmanager:DeleteSecret",
                "s3:ListBucket",
                "s3:DeleteObject",
                "s3:DeleteBucket"
            ],
            "Resource": "*"
        }
    ]
}

8.5.2. HCP CLI 명령을 사용하여 일반적인 ROSA에 대한 권한 권한 최소

다음 예제에서는 호스팅된 컨트롤 플레인(HCP) 클러스터를 사용하여 ROSA를 빌드할 때 가장 일반적인 ROSA CLI 명령에 필요한 최소 권한 권한을 보여줍니다.

8.5.2.1. 클러스터 생성

지정된 권한으로 다음 명령을 실행하여 HCP 클러스터로 ROSA를 생성합니다.

입력

$ rosa create cluster --hosted-cp

정책

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateCluster",
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:ListRoleTags",
                "iam:ListAttachedRolePolicies",
                "iam:ListRoles",
                "ec2:DescribeSubnets",
                "ec2:DescribeRouteTables",
                "ec2:DescribeAvailabilityZones"
            ],
            "Resource": "*"
        }
    ]
}

8.5.2.2. 계정 역할 및 Operator 역할 생성

지정된 권한으로 다음 명령을 실행하여 자동 모드를 사용하여 계정 및 Operator 역할을 생성합니다.

입력

$ rosa create account-roles --mode auto --hosted-cp

정책

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateAccountRoles",
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:UpdateAssumeRolePolicy",
                "iam:ListRoleTags",
                "iam:GetPolicy",
                "iam:TagRole",
                "iam:ListRoles",
                "iam:CreateRole",
                "iam:AttachRolePolicy",
                "iam:ListPolicyTags"
            ],
            "Resource": "*"
        }
    ]
}

8.5.2.3. 계정 역할 삭제

지정된 권한으로 다음 명령을 실행하여 자동 모드에서 계정 역할을 삭제합니다.

입력

$ rosa delete account-roles -–mode auto

정책

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DeleteAccountRoles",
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:ListInstanceProfilesForRole",
                "iam:DetachRolePolicy",
                "iam:ListAttachedRolePolicies",
                "iam:ListRoles",
                "iam:DeleteRole",
                "iam:ListRolePolicies"
            ],
            "Resource": "*"
        }
    ]
}

8.5.2.4. Operator 역할 삭제

지정된 권한으로 다음 명령을 실행하여 자동 모드에서 Operator 역할을 삭제합니다.

입력

$ rosa delete operator-roles -–mode auto

정책

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DeleteOperatorRoles",
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:DetachRolePolicy",
                "iam:ListAttachedRolePolicies",
                "iam:ListRoles",
                "iam:DeleteRole"
            ],
            "Resource": "*"
        }
    ]
}

8.5.3. 일반적인 ROSA Classic CLI 명령에 대한 권한 권한 최소

다음 예제에서는 ROSA Classic 클러스터를 빌드할 때 가장 일반적인 ROSA CLI 명령에 필요한 최소한의 권한 권한을 보여줍니다.

8.5.3.1. 클러스터 생성

지정된 권한으로 다음 명령을 실행하여 권한 권한이 가장 적은 ROSA Classic 클러스터를 생성합니다.

입력

$ rosa create cluster

정책

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateCluster",
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:ListRoleTags",
                "iam:ListRoles"
            ],
            "Resource": "*"
        }
    ]
}

8.5.3.2. 계정 역할 및 Operator 역할 생성

지정된 권한으로 다음 명령을 실행하여 'auto' 모드에서 계정 및 Operator 역할을 생성합니다.

입력

$ rosa create account-roles --mode auto --classic

정책

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateAccountOperatorRoles",
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:UpdateAssumeRolePolicy",
                "iam:ListRoleTags",
                "iam:GetPolicy",
                "iam:TagRole",
                "iam:ListRoles",
                "iam:CreateRole",
                "iam:AttachRolePolicy",
                "iam:TagPolicy",
                "iam:CreatePolicy",
                "iam:ListPolicyTags"
            ],
            "Resource": "*"
        }
    ]
}

8.5.3.3. 계정 역할 삭제

지정된 권한으로 다음 명령을 실행하여 자동 모드에서 계정 역할을 삭제합니다.

입력

$ rosa delete account-roles -–mode auto

정책

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:ListInstanceProfilesForRole",
                "iam:DetachRolePolicy",
                "iam:ListAttachedRolePolicies",
                "iam:ListRoles",
                "iam:DeleteRole",
                "iam:ListRolePolicies",
                "iam:GetPolicy",
                "iam:ListPolicyVersions",
                "iam:DeletePolicy"
            ],
            "Resource": "*"
        }
    ]
}

8.5.3.4. Operator 역할 삭제

지정된 권한으로 다음 명령을 실행하여 자동 모드에서 Operator 역할을 삭제합니다.

입력

$ rosa delete operator-roles -–mode auto

정책

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:ListInstanceProfilesForRole",
                "iam:DetachRolePolicy",
                "iam:ListAttachedRolePolicies",
                "iam:ListRoles",
                "iam:DeleteRole",
                "iam:ListRolePolicies",
                "iam:GetPolicy",
                "iam:ListPolicyVersions",
                "iam:DeletePolicy"
            ],
            "Resource": "*"
        }
    ]
}

8.5.4. 필요한 권한이 없는 ROSA CLI 명령

다음 ROSA CLI 명령을 실행하려면 권한 또는 정책이 필요하지 않습니다. 대신 액세스 키와 구성된 시크릿 키 또는 연결된 역할이 필요합니다.

표 8.112. 명령
명령입력

클러스터 나열

$ Rosa list 클러스터

버전 목록

$ Rosa 목록 버전

클러스터 설명

$ Rosa describe cluster -c <cluster name>

관리자 생성

$ Rosa create admin -c <cluster name>

사용자 나열

$ Rosa list users -c <cluster-name>

업그레이드 나열

$ Rosa 목록 업그레이드

OIDC 구성 나열

$ Rosa list oidc-config

ID 공급자 나열

$ Rosa list idps -c <cluster-name>

수신 목록

$ Rosa list ingresses -c <cluster-name>

8.5.5. 추가 리소스

Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.