8.3. 계정 전체 IAM 리소스 삭제
계정 전체의 AWS ID 및 액세스 관리(IAM) 리소스에 의존하는 AWS STS(Security Token Services) 클러스터를 사용하여 AWS(ROSA)의 모든 OpenShift Service를 삭제한 후 계정 전체의 리소스를 삭제할 수 있습니다.
Red Hat OpenShift Cluster Manager를 사용하여 STS 클러스터를 사용하여 ROSA를 설치할 필요가 없는 경우 OpenShift Cluster Manager 및 사용자 IAM 역할을 삭제할 수도 있습니다.
계정 전체 IAM 역할 및 정책은 동일한 AWS 계정의 다른 ROSA 클러스터에서 사용할 수 있습니다. 다른 클러스터에 필요하지 않은 경우에만 리소스를 제거해야 합니다.
OpenShift Cluster Manager를 사용하여 동일한 AWS 계정에서 다른 ROSA 클러스터를 설치, 관리 및 삭제하려면 OpenShift Cluster Manager 및 사용자 IAM 역할이 필요합니다. OpenShift Cluster Manager를 사용하여 계정에 ROSA 클러스터를 더 이상 설치할 필요가 없는 경우에만 역할을 제거해야 합니다. 이러한 역할이 삭제되기 전에 제거된 경우 클러스터 복구에 대한 정보는 "ECDHE resources" 섹션을 참조하십시오.
8.3.1. 계정 전체 IAM 역할 및 정책 삭제
이 섹션에서는 계정 수준 Operator 정책과 함께 STS 배포를 위해 ROSA용으로 생성한 계정 전체 IAM 역할 및 정책을 삭제하는 단계를 제공합니다. 여기에 의존하는 AWS STS(Security Token Services) 클러스터를 사용하여 ROSA(Red Hat OpenShift Service on AWS)를 모두 삭제한 후에만 계정 전체의 AWS IAM(Identity and Access Management) 역할 및 정책을 삭제할 수 있습니다.
계정 전체 IAM 역할 및 정책은 동일한 AWS 계정의 다른 ROSA 클러스터에서 사용할 수 있습니다. 다른 클러스터에 필요하지 않은 경우에만 역할을 제거해야 합니다.
사전 요구 사항
- ROSA 클러스터가 설치되어 있습니다.
-
설치 호스트에 최신 ROSA CLI(
rosa
)를 설치하고 구성했습니다.
절차
계정 전체 역할을 삭제합니다.
ROSA CLI(
rosa
)를 사용하여 AWS 계정의 계정 전체 역할을 나열합니다.$ rosa list account-roles
출력 예
I: Fetching account roles ROLE NAME ROLE TYPE ROLE ARN OPENSHIFT VERSION ManagedOpenShift-ControlPlane-Role Control plane arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-ControlPlane-Role 4.10 ManagedOpenShift-Installer-Role Installer arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Installer-Role 4.10 ManagedOpenShift-Support-Role Support arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Support-Role 4.10 ManagedOpenShift-Worker-Role Worker arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Worker-Role 4.10
계정 전체 역할을 삭제합니다.
$ rosa delete account-roles --prefix <prefix> --mode auto 1
- 1
- --<
prefix> 인수를 포함해야
합니다. <prefix
>를 삭제할 계정 전체 역할의 접두사로 바꿉니다. 계정 전체 역할을 생성할 때 사용자 정의 접두사를 지정하지 않은 경우 기본 접두사인ManagedOpenShift
를 지정합니다.
중요계정 전체 IAM 역할은 동일한 AWS 계정의 다른 ROSA 클러스터에서 사용할 수 있습니다. 다른 클러스터에 필요하지 않은 경우에만 역할을 제거해야 합니다.
계정 전체의 인라인 및 Operator 정책을 삭제합니다.
AWS IAM 콘솔 의 정책 페이지에서 계정 전체 역할 및 정책을 생성할 때 지정한 접두사로 정책 목록을 필터링합니다.
참고계정 전체 역할을 생성할 때 사용자 정의 접두사를 지정하지 않은 경우 기본 접두사인
ManagedOpenShift
를 검색합니다.AWS IAM 콘솔 을 사용하여 계정 전체의 인라인 정책 및 Operator 정책을 삭제합니다. AWS IAM 콘솔을 사용하여 IAM 정책 삭제에 대한 자세한 내용은 AWS 문서의 IAM 정책 삭제 를 참조하십시오.
중요계정 전체의 인라인 및 Operator IAM 정책은 동일한 AWS 계정의 다른 ROSA 클러스터에서 사용될 수 있습니다. 다른 클러스터에 필요하지 않은 경우에만 역할을 제거해야 합니다.
8.3.2. OpenShift Cluster Manager 및 사용자 IAM 역할 연결 해제 및 삭제
Red Hat OpenShift Cluster Manager를 사용하여 AWS에 Red Hat OpenShift Service on AWS를 설치한 경우 OpenShift Cluster Manager 및 IAM(사용자 ID 및 액세스 관리) 역할을 생성하고 이를 Red Hat 조직에 연결했습니다. 클러스터를 삭제한 후 ROSA CLI(rosa
)를 사용하여 역할의 연결을 해제하고 삭제할 수 있습니다.
OpenShift Cluster Manager를 사용하여 동일한 AWS 계정의 다른 ROSA 클러스터를 설치하고 관리하려면 OpenShift Cluster Manager 및 사용자 IAM 역할이 필요합니다. 더 이상 ROSA 클러스터를 설치하기 위해 OpenShift Cluster Manager를 사용할 필요가 없는 경우에만 역할을 제거해야 합니다.
사전 요구 사항
- OpenShift Cluster Manager 및 사용자 IAM 역할을 생성하고 Red Hat 조직에 연결했습니다.
-
설치 호스트에 최신 ROSA CLI(
rosa
)를 설치하고 구성했습니다. - Red Hat 조직에는 조직 관리자 권한이 있습니다.
절차
Red Hat 조직에서 OpenShift Cluster Manager IAM 역할을 연결 해제하고 역할을 삭제합니다.
AWS 계정의 OpenShift Cluster Manager IAM 역할을 나열합니다.
$ rosa list ocm-roles
출력 예
I: Fetching ocm roles ROLE NAME ROLE ARN LINKED ADMIN ManagedOpenShift-OCM-Role-<red_hat_organization_external_id> arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-OCM-Role-<red_hat_organization_external_id> Yes Yes
이전 명령의 출력에 연결된 OpenShift Cluster Manager IAM 역할이 나열된 경우 Red Hat 조직의 역할을 연결 해제합니다.
$ rosa unlink ocm-role --role-arn <arn> 1
- 1
- &
lt;arn
>을 OpenShift Cluster Manager IAM 역할의 ARM(Amazon Resource Name)으로 바꿉니다. ARN은 이전 명령의 출력에 지정됩니다. 이전 예에서 ARN은arn:aws:iam::<aws_account_external_id>:role/ManagedOpenShift-OCM-Role-<red_hat_organization_external_id
> 형식으로 되어 있습니다.
출력 예
I: Unlinking OCM role ? Unlink the 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-OCM-Role-<red_hat_organization_external_id>' role from organization '<red_hat_organization_id>'? Yes I: Successfully unlinked role-arn 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-OCM-Role-<red_hat_organization_external_id>' from organization account '<red_hat_organization_id>'
OpenShift Cluster Manager IAM 역할 및 정책을 삭제합니다.
$ rosa delete ocm-role --role-arn <arn>
출력 예
I: Deleting OCM role ? OCM Role ARN: arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-OCM-Role-<red_hat_organization_external_id> ? Delete 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-OCM-Role-<red_hat_organization_external_id>' ocm role? Yes ? OCM role deletion mode: auto 1 I: Successfully deleted the OCM role
- 1
- 삭제 모드를 지정합니다.
자동
모드를 사용하여 OpenShift Cluster Manager IAM 역할 및 정책을 자동으로 삭제할 수 있습니다.수동
모드에서rosa
CLI는 역할 및 정책을 삭제하는 데 필요한aws
명령을 생성합니다.수동
모드를 사용하면aws
명령을 수동으로 실행하기 전에 세부 정보를 검토할 수 있습니다.
Red Hat 조직에서 사용자 IAM 역할을 연결 해제하고 역할을 삭제합니다.
AWS 계정의 사용자 IAM 역할을 나열합니다.
$ rosa list user-roles
출력 예
I: Fetching user roles ROLE NAME ROLE ARN LINKED ManagedOpenShift-User-<ocm_user_name>-Role arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-User-<ocm_user_name>-Role Yes
이전 명령의 출력에 연결된 사용자 IAM 역할이 나열된 경우 Red Hat 조직의 역할을 연결 해제합니다.
$ rosa unlink user-role --role-arn <arn> 1
- 1
- &
lt;arn
>을 사용자 IAM 역할의 Amazon 리소스 이름(ARN)으로 바꿉니다. ARN은 이전 명령의 출력에 지정됩니다. 이전 예에서 ARN은arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-User-<ocm_user_name>-Role
형식으로 되어 있습니다.
출력 예
I: Unlinking user role ? Unlink the 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-User-<ocm_user_name>-Role' role from the current account '<ocm_user_account_id>'? Yes I: Successfully unlinked role ARN 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-User-<ocm_user_name>-Role' from account '<ocm_user_account_id>'
사용자 IAM 역할을 삭제합니다.
$ rosa delete user-role --role-arn <arn>
출력 예
I: Deleting user role ? User Role ARN: arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-User-<ocm_user_name>-Role ? Delete the 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-User-<ocm_user_name>-Role' role from the AWS account? Yes ? User role deletion mode: auto 1 I: Successfully deleted the user role
- 1
- 삭제 모드를 지정합니다.
자동
모드를 사용하여 사용자 IAM 역할을 자동으로 삭제할 수 있습니다.수동
모드에서rosa
CLI는 역할을 삭제하는 데 필요한aws
명령을 생성합니다.수동
모드를 사용하면aws
명령을 수동으로 실행하기 전에 세부 정보를 검토할 수 있습니다.