8.5. ROSA CLI 명령에 대한 권한 권한 최소
최소 권한 주체를 준수하는 권한을 사용하여 역할을 생성할 수 있으며, 이 경우 역할을 할당한 사용자에게 수행해야 하는 특정 작업 범위 이상으로 다른 권한이 할당되지 않습니다. 이러한 정책에는 ROSA(Red Hat OpenShift Service on AWS) CLI(명령줄 인터페이스)를 사용하여 특정 작업을 수행하는 데 필요한 최소 권한만 포함됩니다.
이 항목에 제공된 정책 및 명령이 서로 함께 작동하지만 AWS 환경 내에 특정 요구 사항에 따라 이러한 명령에 대한 정책이 충분하지 않을 수 있습니다. Red Hat은 다른 AWS Identity and Access Management(IAM) 제한이 없는 경우 기준선으로 이러한 예제를 제공합니다.
나열된 예제에서는 가장 일반적인 ROSA CLI 명령 몇 가지를 다룹니다. ROSA CLI 명령에 대한 자세한 내용은 공통 명령 및 인수를 참조하십시오.
AWS 콘솔에서 권한, 정책 및 역할을 구성하는 방법에 대한 자세한 내용은 AWS 문서의 AWS Identity and Access Management 를 참조하십시오.
8.5.1. 일반적인 ROSA CLI 명령에 대한 권한 권한 최소
나열된 ROSA CLI 명령에 필요한 다음과 같은 최소 권한은 호스팅된 컨트롤 플레인(HCP) 및 클래식 클러스터에 적용할 수 있습니다.
8.5.1.1. 관리형 OpenID Connect(OIDC) 공급자 생성
지정된 권한으로 다음 명령을 실행하여 자동 모드를 사용하여 관리되는 OIDC 공급자를 생성합니다.
입력
$ rosa create oidc-config --mode auto
정책
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CreateOidcConfig",
"Effect": "Allow",
"Action": [
"iam:TagOpenIDConnectProvider",
"iam:CreateOpenIDConnectProvider"
],
"Resource": "*"
}
]
}
8.5.1.2. 관리되지 않는 OpenID Connect 공급자 생성
지정된 권한으로 다음 명령을 실행하여 자동 모드를 사용하여 관리되지 않는 OIDC 공급자를 생성합니다.
입력
$ rosa create oidc-config --mode auto --managed=false
정책
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:TagOpenIDConnectProvider",
"iam:ListRoleTags",
"iam:ListRoles",
"iam:CreateOpenIDConnectProvider",
"s3:CreateBucket",
"s3:PutObject",
"s3:PutBucketTagging",
"s3:PutBucketPolicy",
"s3:PutObjectTagging",
"s3:PutBucketPublicAccessBlock",
"secretsmanager:CreateSecret",
"secretsmanager:TagResource"
],
"Resource": "*"
}
]
}
8.5.1.3. 계정 역할 나열
지정된 권한으로 다음 명령을 실행하여 계정 역할을 나열합니다.
입력
$ rosa list account-roles
정책
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ListAccountRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoleTags",
"iam:ListRoles"
],
"Resource": "*"
}
]
}
8.5.1.4. Operator 역할 나열
지정된 권한으로 다음 명령을 실행하여 Operator 역할을 나열합니다.
입력
$ rosa list operator-roles
정책
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ListOperatorRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoleTags",
"iam:ListAttachedRolePolicies",
"iam:ListRoles",
"iam:ListPolicyTags"
],
"Resource": "*"
}
]
}
8.5.1.5. OIDC 공급자 나열
지정된 권한으로 다음 명령을 실행하여 OIDC 공급자를 나열합니다.
입력
$ rosa list oidc-providers
정책
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ListOidcProviders",
"Effect": "Allow",
"Action": [
"iam:ListOpenIDConnectProviders",
"iam:ListOpenIDConnectProviderTags"
],
"Resource": "*"
}
]
}
8.5.1.6. 할당량 확인
지정된 권한으로 다음 명령을 실행하여 할당량을 확인합니다.
입력
$ rosa verify quota
정책
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VerifyQuota",
"Effect": "Allow",
"Action": [
"elasticloadbalancing:DescribeAccountLimits",
"servicequotas:ListServiceQuotas"
],
"Resource": "*"
}
]
}
8.5.1.7. 관리 OIDC 구성 삭제
지정된 권한으로 다음 명령을 실행하여 자동 모드를 사용하여 관리되는 OIDC 구성을 삭제합니다.
입력
$ rosa delete oidc-config -–mode auto
정책
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DeleteOidcConfig",
"Effect": "Allow",
"Action": [
"iam:ListOpenIDConnectProviders",
"iam:DeleteOpenIDConnectProvider"
],
"Resource": "*"
}
]
}
8.5.1.8. 관리되지 않는 OIDC 구성 삭제
지정된 권한으로 다음 명령을 실행하여 자동 모드를 사용하여 관리되지 않는 OIDC 구성을 삭제합니다.
입력
$ rosa delete oidc-config -–mode auto
정책
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"iam:ListOpenIDConnectProviders",
"iam:DeleteOpenIDConnectProvider",
"secretsmanager:DeleteSecret",
"s3:ListBucket",
"s3:DeleteObject",
"s3:DeleteBucket"
],
"Resource": "*"
}
]
}
8.5.2. HCP CLI 명령을 사용하여 일반적인 ROSA에 대한 권한 권한 최소
다음 예제에서는 호스팅된 컨트롤 플레인(HCP) 클러스터를 사용하여 ROSA를 빌드할 때 가장 일반적인 ROSA CLI 명령에 필요한 최소 권한 권한을 보여줍니다.
8.5.2.1. 클러스터 생성
지정된 권한으로 다음 명령을 실행하여 HCP 클러스터로 ROSA를 생성합니다.
입력
$ rosa create cluster --hosted-cp
정책
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CreateCluster",
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:ListRoleTags",
"iam:ListAttachedRolePolicies",
"iam:ListRoles",
"ec2:DescribeSubnets",
"ec2:DescribeRouteTables",
"ec2:DescribeAvailabilityZones"
],
"Resource": "*"
}
]
}
8.5.2.2. 계정 역할 및 Operator 역할 생성
지정된 권한으로 다음 명령을 실행하여 자동 모드를 사용하여 계정 및 Operator 역할을 생성합니다.
입력
$ rosa create account-roles --mode auto --hosted-cp
정책
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CreateAccountRoles",
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:UpdateAssumeRolePolicy",
"iam:ListRoleTags",
"iam:GetPolicy",
"iam:TagRole",
"iam:ListRoles",
"iam:CreateRole",
"iam:AttachRolePolicy",
"iam:ListPolicyTags"
],
"Resource": "*"
}
]
}
8.5.2.3. 계정 역할 삭제
지정된 권한으로 다음 명령을 실행하여 자동 모드에서 계정 역할을 삭제합니다.
입력
$ rosa delete account-roles -–mode auto
정책
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DeleteAccountRoles",
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:ListInstanceProfilesForRole",
"iam:DetachRolePolicy",
"iam:ListAttachedRolePolicies",
"iam:ListRoles",
"iam:DeleteRole",
"iam:ListRolePolicies"
],
"Resource": "*"
}
]
}
8.5.2.4. Operator 역할 삭제
지정된 권한으로 다음 명령을 실행하여 자동 모드에서 Operator 역할을 삭제합니다.
입력
$ rosa delete operator-roles -–mode auto
정책
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DeleteOperatorRoles",
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:DetachRolePolicy",
"iam:ListAttachedRolePolicies",
"iam:ListRoles",
"iam:DeleteRole"
],
"Resource": "*"
}
]
}
8.5.3. 일반적인 ROSA Classic CLI 명령에 대한 권한 권한 최소
다음 예제에서는 ROSA Classic 클러스터를 빌드할 때 가장 일반적인 ROSA CLI 명령에 필요한 최소한의 권한 권한을 보여줍니다.
8.5.3.1. 클러스터 생성
지정된 권한으로 다음 명령을 실행하여 권한 권한이 가장 적은 ROSA Classic 클러스터를 생성합니다.
입력
$ rosa create cluster
정책
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CreateCluster",
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:ListRoleTags",
"iam:ListRoles"
],
"Resource": "*"
}
]
}
8.5.3.2. 계정 역할 및 Operator 역할 생성
지정된 권한으로 다음 명령을 실행하여 'auto' 모드에서 계정 및 Operator 역할을 생성합니다.
입력
$ rosa create account-roles --mode auto --classic
정책
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CreateAccountOperatorRoles",
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:UpdateAssumeRolePolicy",
"iam:ListRoleTags",
"iam:GetPolicy",
"iam:TagRole",
"iam:ListRoles",
"iam:CreateRole",
"iam:AttachRolePolicy",
"iam:TagPolicy",
"iam:CreatePolicy",
"iam:ListPolicyTags"
],
"Resource": "*"
}
]
}
8.5.3.3. 계정 역할 삭제
지정된 권한으로 다음 명령을 실행하여 자동 모드에서 계정 역할을 삭제합니다.
입력
$ rosa delete account-roles -–mode auto
정책
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:ListInstanceProfilesForRole",
"iam:DetachRolePolicy",
"iam:ListAttachedRolePolicies",
"iam:ListRoles",
"iam:DeleteRole",
"iam:ListRolePolicies",
"iam:GetPolicy",
"iam:ListPolicyVersions",
"iam:DeletePolicy"
],
"Resource": "*"
}
]
}
8.5.3.4. Operator 역할 삭제
지정된 권한으로 다음 명령을 실행하여 자동 모드에서 Operator 역할을 삭제합니다.
입력
$ rosa delete operator-roles -–mode auto
정책
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:ListInstanceProfilesForRole",
"iam:DetachRolePolicy",
"iam:ListAttachedRolePolicies",
"iam:ListRoles",
"iam:DeleteRole",
"iam:ListRolePolicies",
"iam:GetPolicy",
"iam:ListPolicyVersions",
"iam:DeletePolicy"
],
"Resource": "*"
}
]
}
8.5.4. 필요한 권한이 없는 ROSA CLI 명령
다음 ROSA CLI 명령을 실행하려면 권한 또는 정책이 필요하지 않습니다. 대신 액세스 키와 구성된 시크릿 키 또는 연결된 역할이 필요합니다.
| 명령 | 입력 |
|---|---|
| 클러스터 나열 |
|
| 버전 목록 |
|
| 클러스터 설명 |
|
| 관리자 생성 |
|
| 사용자 나열 |
|
| 업그레이드 나열 |
|
| OIDC 구성 나열 |
|
| ID 공급자 나열 |
|
| 수신 목록 |
|
8.5.5. 추가 리소스
- AWS 역할에 대한 자세한 내용은 IAM 역할을 참조하십시오.
- AWS 정책 및 권한에 대한 자세한 내용은 IAM의 정책 및 권한을 참조하십시오.
