Red Hat Summit8.5. ROSA CLI 명령에 대한 권한 권한 최소
최소 권한 주체를 준수하는 권한을 사용하여 역할을 생성할 수 있으며, 이 경우 역할을 할당한 사용자에게 수행해야 하는 특정 작업 범위 이상으로 다른 권한이 할당되지 않습니다. 이러한 정책에는 ROSA(Red Hat OpenShift Service on AWS) CLI(명령줄 인터페이스)를 사용하여 특정 작업을 수행하는 데 필요한 최소 권한만 포함됩니다.
이 항목에 제공된 정책 및 명령이 서로 함께 작동하지만 AWS 환경 내에 특정 요구 사항에 따라 이러한 명령에 대한 정책이 충분하지 않을 수 있습니다. Red Hat은 다른 AWS Identity and Access Management(IAM) 제한이 없는 경우 기준선으로 이러한 예제를 제공합니다.
AWS 콘솔에서 권한, 정책 및 역할을 구성하는 방법에 대한 자세한 내용은 AWS 문서의 AWS Identity and Access Management 를 참조하십시오.
8.5.1. 일반적인 ROSA CLI 명령에 대한 권한 권한 최소
나열된 ROSA CLI 명령에 필요한 다음과 같은 최소 권한은 호스팅된 컨트롤 플레인(HCP) 및 클래식 클러스터에 적용할 수 있습니다.
8.5.1.1. 관리형 OpenID Connect(OIDC) 공급자 생성
지정된 권한으로 다음 명령을 실행하여 자동 모드를 사용하여 관리되는 OIDC 공급자를 생성합니다.
입력
$ rosa create oidc-config --mode auto정책
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CreateOidcConfig",
"Effect": "Allow",
"Action": [
"iam:TagOpenIDConnectProvider",
"iam:CreateOpenIDConnectProvider"
],
"Resource": "*"
}
]
}8.5.1.2. 관리되지 않는 OpenID Connect 공급자 생성
지정된 권한으로 다음 명령을 실행하여 자동 모드를 사용하여 관리되지 않는 OIDC 공급자를 생성합니다.
입력
$ rosa create oidc-config --mode auto --managed=false정책
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:TagOpenIDConnectProvider",
"iam:ListRoleTags",
"iam:ListRoles",
"iam:CreateOpenIDConnectProvider",
"s3:CreateBucket",
"s3:PutObject",
"s3:PutBucketTagging",
"s3:PutBucketPolicy",
"s3:PutObjectTagging",
"s3:PutBucketPublicAccessBlock",
"secretsmanager:CreateSecret",
"secretsmanager:TagResource"
],
"Resource": "*"
}
]
}8.5.1.3. 계정 역할 나열
지정된 권한으로 다음 명령을 실행하여 계정 역할을 나열합니다.
입력
$ rosa list account-roles정책
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ListAccountRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoleTags",
"iam:ListRoles"
],
"Resource": "*"
}
]
}8.5.1.4. Operator 역할 나열
지정된 권한으로 다음 명령을 실행하여 Operator 역할을 나열합니다.
입력
$ rosa list operator-roles정책
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ListOperatorRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoleTags",
"iam:ListAttachedRolePolicies",
"iam:ListRoles",
"iam:ListPolicyTags"
],
"Resource": "*"
}
]
}8.5.1.5. OIDC 공급자 나열
지정된 권한으로 다음 명령을 실행하여 OIDC 공급자를 나열합니다.
입력
$ rosa list oidc-providers정책
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ListOidcProviders",
"Effect": "Allow",
"Action": [
"iam:ListOpenIDConnectProviders",
"iam:ListOpenIDConnectProviderTags"
],
"Resource": "*"
}
]
}8.5.1.6. 할당량 확인
지정된 권한으로 다음 명령을 실행하여 할당량을 확인합니다.
입력
$ rosa verify quota정책
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VerifyQuota",
"Effect": "Allow",
"Action": [
"elasticloadbalancing:DescribeAccountLimits",
"servicequotas:ListServiceQuotas"
],
"Resource": "*"
}
]
}8.5.1.7. 관리 OIDC 구성 삭제
지정된 권한으로 다음 명령을 실행하여 자동 모드를 사용하여 관리되는 OIDC 구성을 삭제합니다.
입력
$ rosa delete oidc-config -–mode auto정책
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DeleteOidcConfig",
"Effect": "Allow",
"Action": [
"iam:ListOpenIDConnectProviders",
"iam:DeleteOpenIDConnectProvider"
],
"Resource": "*"
}
]
}8.5.1.8. 관리되지 않는 OIDC 구성 삭제
지정된 권한으로 다음 명령을 실행하여 자동 모드를 사용하여 관리되지 않는 OIDC 구성을 삭제합니다.
입력
$ rosa delete oidc-config -–mode auto정책
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"iam:ListOpenIDConnectProviders",
"iam:DeleteOpenIDConnectProvider",
"secretsmanager:DeleteSecret",
"s3:ListBucket",
"s3:DeleteObject",
"s3:DeleteBucket"
],
"Resource": "*"
}
]
}8.5.2. HCP CLI 명령을 사용하여 일반적인 ROSA에 대한 권한 권한 최소
다음 예제에서는 호스팅된 컨트롤 플레인(HCP) 클러스터를 사용하여 ROSA를 빌드할 때 가장 일반적인 ROSA CLI 명령에 필요한 최소 권한 권한을 보여줍니다.
8.5.2.1. 클러스터 생성
지정된 권한으로 다음 명령을 실행하여 HCP 클러스터로 ROSA를 생성합니다.
입력
$ rosa create cluster --hosted-cp정책
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CreateCluster",
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:ListRoleTags",
"iam:ListAttachedRolePolicies",
"iam:ListRoles",
"ec2:DescribeSubnets",
"ec2:DescribeRouteTables",
"ec2:DescribeAvailabilityZones"
],
"Resource": "*"
}
]
}8.5.2.2. 계정 역할 및 Operator 역할 생성
지정된 권한으로 다음 명령을 실행하여 자동 모드를 사용하여 계정 및 Operator 역할을 생성합니다.
입력
$ rosa create account-roles --mode auto --hosted-cp정책
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CreateAccountRoles",
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:UpdateAssumeRolePolicy",
"iam:ListRoleTags",
"iam:GetPolicy",
"iam:TagRole",
"iam:ListRoles",
"iam:CreateRole",
"iam:AttachRolePolicy",
"iam:ListPolicyTags"
],
"Resource": "*"
}
]
}8.5.2.3. 계정 역할 삭제
지정된 권한으로 다음 명령을 실행하여 자동 모드에서 계정 역할을 삭제합니다.
입력
$ rosa delete account-roles -–mode auto정책
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DeleteAccountRoles",
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:ListInstanceProfilesForRole",
"iam:DetachRolePolicy",
"iam:ListAttachedRolePolicies",
"iam:ListRoles",
"iam:DeleteRole",
"iam:ListRolePolicies"
],
"Resource": "*"
}
]
}8.5.2.4. Operator 역할 삭제
지정된 권한으로 다음 명령을 실행하여 자동 모드에서 Operator 역할을 삭제합니다.
입력
$ rosa delete operator-roles -–mode auto정책
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DeleteOperatorRoles",
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:DetachRolePolicy",
"iam:ListAttachedRolePolicies",
"iam:ListRoles",
"iam:DeleteRole"
],
"Resource": "*"
}
]
}8.5.3. 일반적인 ROSA Classic CLI 명령에 대한 권한 권한 최소
다음 예제에서는 ROSA Classic 클러스터를 빌드할 때 가장 일반적인 ROSA CLI 명령에 필요한 최소한의 권한 권한을 보여줍니다.
8.5.3.1. 클러스터 생성
지정된 권한으로 다음 명령을 실행하여 권한 권한이 가장 적은 ROSA Classic 클러스터를 생성합니다.
입력
$ rosa create cluster정책
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CreateCluster",
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:ListRoleTags",
"iam:ListRoles"
],
"Resource": "*"
}
]
}8.5.3.2. 계정 역할 및 Operator 역할 생성
지정된 권한으로 다음 명령을 실행하여 'auto' 모드에서 계정 및 Operator 역할을 생성합니다.
입력
$ rosa create account-roles --mode auto --classic정책
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CreateAccountOperatorRoles",
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:UpdateAssumeRolePolicy",
"iam:ListRoleTags",
"iam:GetPolicy",
"iam:TagRole",
"iam:ListRoles",
"iam:CreateRole",
"iam:AttachRolePolicy",
"iam:TagPolicy",
"iam:CreatePolicy",
"iam:ListPolicyTags"
],
"Resource": "*"
}
]
}8.5.3.3. 계정 역할 삭제
지정된 권한으로 다음 명령을 실행하여 자동 모드에서 계정 역할을 삭제합니다.
입력
$ rosa delete account-roles -–mode auto정책
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:ListInstanceProfilesForRole",
"iam:DetachRolePolicy",
"iam:ListAttachedRolePolicies",
"iam:ListRoles",
"iam:DeleteRole",
"iam:ListRolePolicies",
"iam:GetPolicy",
"iam:ListPolicyVersions",
"iam:DeletePolicy"
],
"Resource": "*"
}
]
}8.5.3.4. Operator 역할 삭제
지정된 권한으로 다음 명령을 실행하여 자동 모드에서 Operator 역할을 삭제합니다.
입력
$ rosa delete operator-roles -–mode auto정책
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:ListInstanceProfilesForRole",
"iam:DetachRolePolicy",
"iam:ListAttachedRolePolicies",
"iam:ListRoles",
"iam:DeleteRole",
"iam:ListRolePolicies",
"iam:GetPolicy",
"iam:ListPolicyVersions",
"iam:DeletePolicy"
],
"Resource": "*"
}
]
}8.5.4. 필요한 권한이 없는 ROSA CLI 명령
다음 ROSA CLI 명령을 실행하려면 권한 또는 정책이 필요하지 않습니다. 대신 액세스 키와 구성된 시크릿 키 또는 연결된 역할이 필요합니다.
| 명령 | 입력 |
|---|---|
| 클러스터 나열 |
|
| 버전 목록 |
|
| 클러스터 설명 |
|
| 관리자 생성 |
|
| 사용자 나열 |
|
| 업그레이드 나열 |
|
| OIDC 구성 나열 |
|
| ID 공급자 나열 |
|
| 수신 목록 |
|
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}