4장. STS를 사용하는 ROSA 클러스터의 IAM 리소스 정보
AWS STS(Security Token Service)를 사용하는 AWS(ROSA) 클러스터에 Red Hat OpenShift Service를 배포하려면 다음 AWS IAM(Identity Access Management) 리소스를 생성해야 합니다.
- ROSA 지원, 설치, 컨트롤 플레인 및 컴퓨팅 기능에 필요한 STS 권한을 제공하는 특정 계정 전체 IAM 역할 및 정책입니다. 여기에는 계정 전체 Operator 정책이 포함됩니다.
- ROSA 클러스터 Operator가 핵심 OpenShift 기능을 수행할 수 있도록 하는 클러스터별 Operator IAM 역할입니다.
- 클러스터 Operator가 인증하는 데 사용하는 OpenID Connect(OIDC) 공급자입니다.
OpenShift Cluster Manager를 사용하여 ROSA를 배포하는 경우 추가 리소스를 생성해야 합니다.
- 클러스터에 설치를 완료하는 OpenShift Cluster Manager IAM 역할입니다.
- AWS 계정 ID를 확인할 수 있는 권한이 없는 사용자 역할입니다.
이 문서에서는 STS를 사용하는 ROSA 클러스터를 생성할 때 배포해야 하는 IAM 리소스에 대한 참조 정보를 제공합니다. rosa create 명령과 함께 수동 모드를 사용할 때 생성되는 aws CLI 명령도 포함되어 있습니다.
추가 리소스
- AWS IAM 리소스를 포함하여 STS를 사용하여 ROSA 클러스터를 빠르게 생성하는 단계는 기본 옵션을 사용하여 STS를 사용하여 ROSA 클러스터 생성을 참조하십시오.
- AWS IAM 리소스를 포함하여 사용자 정의를 사용하여 STS를 사용하여 ROSA 클러스터를 생성하는 단계는 사용자 지정을 사용하여 STS를 사용하여 ROSA 클러스터 생성을 참조하십시오.
4.1. OpenShift Cluster Manager 역할 및 권한
OpenShift Cluster Manager Hybrid Cloud Console 을 사용하여 ROSA 클러스터를 생성하는 경우 클러스터를 생성하고 관리하려면 다음 AWS IAM 역할이 연결되어 있어야 합니다. IAM 역할을 AWS 계정과 연결하는 방법에 대한 자세한 내용은 AWS 계정 지원을 참조하십시오.
rosa CLI 도구만 사용하는 경우 이러한 IAM 역할을 생성할 필요가 없습니다.
이러한 AWS IAM 역할은 다음과 같습니다.
- ROSA 사용자 역할은 Red Hat에서 고객의 AWS ID를 확인하는 데 사용하는 AWS 역할입니다. 이 역할에는 추가 권한이 없으며 이 역할에는 Red Hat 설치 프로그램 계정과 신뢰 관계가 있습니다.
ocm-role리소스는 OpenShift Cluster Manager에 ROSA 클러스터 설치에 필요한 권한을 부여합니다.ocm-role리소스에 기본 또는 관리 권한을 적용할 수 있습니다. 관리ocm-role리소스를 생성하는 경우 OpenShift Cluster Manager에서 필요한 AWS Operator 역할 및 OIDC(OpenID Connect) 공급자를 생성할 수 있습니다. 이 IAM 역할은 Red Hat 설치 프로그램 계정과도 신뢰 관계를 생성합니다.참고ocm-roleIAM 리소스는 IAM 역할과 생성된 필요한 정책의 조합을 나타냅니다.
OpenShift Cluster Manager에서 auto 모드를 사용하여 Operator 역할 및 OIDC 공급자를 생성하려면 이 사용자 역할 및 관리자 ocm-role 리소스를 생성해야 합니다.
4.1.1. OpenShift Cluster Manager 역할 이해
OpenShift Cluster Manager 하이브리드 클라우드 콘솔에서 ROSA 클러스터를 생성하려면 ocm-role IAM 역할이 필요합니다. 기본 ocm-role IAM 역할 권한을 사용하면 OpenShift Cluster Manager 내에서 클러스터 유지 관리를 수행할 수 있습니다. Operator 역할 및 OIDC(OpenID Connect) 공급자를 자동으로 생성하려면 rosa create 명령에 --admin 옵션을 추가해야 합니다. 이 명령은 관리 작업에 필요한 추가 권한이 있는 ocm-role 리소스를 생성합니다.
이 상승된 IAM 역할을 통해 OpenShift Cluster Manager는 클러스터 생성 중에 클러스터별 Operator 역할 및 OIDC 공급자를 자동으로 생성할 수 있습니다. 이 자동 역할 및 정책 생성에 대한 자세한 내용은 추가 리소스의 " account-wide 역할 생성 방법" 링크를 참조하십시오.
4.1.1.1. 사용자 역할 이해
ocm-role IAM 역할 외에도 AWS의 Red Hat OpenShift Service가 AWS ID를 확인할 수 있도록 사용자 역할을 생성해야 합니다. 이 역할에는 권한이 없으며 설치 프로그램 계정과 ocm-role 리소스 간의 신뢰 관계를 생성하는 데만 사용됩니다.
다음 표에는 ocm-role 리소스에 대한 관련 기본 및 관리 권한이 표시되어 있습니다.
| 리소스 | 설명 |
|---|---|
|
| 이 권한을 사용하면 기본 역할이 지정된 OIDC(OpenID Connect) 공급자에 대한 정보를 검색할 수 있습니다. |
|
| 이 권한을 사용하면 기본 역할이 지정된 역할에 대한 정보를 검색할 수 있습니다. 반환된 일부 데이터에는 역할을 가정할 권한을 부여하는 역할의 경로, GUID, ARN 및 역할의 신뢰 정책이 포함됩니다. |
|
| 이 권한을 사용하면 기본 역할이 경로 접두사 내의 역할을 나열할 수 있습니다. |
|
| 이 권한을 사용하면 기본 역할이 지정된 역할의 태그를 나열할 수 있습니다. |
|
| 이 권한을 통해 기본 역할은 계정의 활성화된 모든 지역에 대한 정보를 반환할 수 있습니다. |
|
| 이 권한을 통해 기본 역할은 모든 경로 테이블에 대한 정보를 반환할 수 있습니다. |
|
| 이 권한을 통해 기본 역할은 모든 서브넷에 대한 정보를 반환할 수 있습니다. |
|
| 이 권한을 통해 기본 역할은 모든 가상 프라이빗 클라우드(VPC)에 대한 정보를 반환할 수 있습니다. |
|
| 이 권한을 사용하면 기본 역할이 임시 보안 자격 증명을 검색하여 일반 권한을 벗어나는 AWS 리소스에 액세스할 수 있습니다. |
|
| 이 권한을 사용하면 기본 역할이 웹 ID 공급자로 계정을 인증한 사용자의 임시 보안 자격 증명을 검색할 수 있습니다. |
| 리소스 | 설명 |
|---|---|
|
| 이 권한을 사용하면 admin 역할이 지정된 정책을 원하는 IAM 역할에 연결할 수 있습니다. |
|
| 이 권한은 OIDC(OpenID Connect)를 지원하는 ID 공급자를 설명하는 리소스를 생성합니다. 이 권한이 있는 OIDC 공급자를 생성할 때 이 공급자는 공급자와 AWS 간의 신뢰 관계를 설정합니다. |
|
| 이 권한을 사용하면 admin 역할이 AWS 계정에 대한 역할을 생성할 수 있습니다. |
|
| 이 권한을 사용하면 admin 역할이 AWS 계정과 연결된 모든 정책을 나열할 수 있습니다. |
|
| 이 권한을 사용하면 admin 역할이 지정된 정책의 태그를 나열할 수 있습니다. |
|
| 이 권한을 사용하면 admin 역할이 지정된 정책에 따라 사용자에 대한 권한 경계를 변경할 수 있습니다. |
|
| 이 권한을 사용하면 admin 역할이 IAM 역할에 태그를 추가할 수 있습니다. |
추가 리소스
OpenShift Cluster Manager IAM 역할 생성
CLI(명령줄 인터페이스)를 사용하여 OpenShift Cluster Manager IAM 역할을 생성합니다.
사전 요구 사항
- AWS 계정이 있습니다.
- OpenShift Cluster Manager 조직에 Red Hat 조직 관리자 권한이 있어야 합니다.
- AWS 계정 전체 역할을 설치하는 데 필요한 권한이 있습니다.
-
설치 호스트에 최신 AWS(
aws) 및 ROSA(rosa) CLI를 설치하고 구성했습니다.
절차
기본 권한으로 ocm-role IAM 역할을 생성하려면 다음 명령을 실행합니다.
$ rosa create ocm-role
admin 권한으로 ocm-role IAM 역할을 생성하려면 다음 명령을 실행합니다.
$ rosa create ocm-role --admin
이 명령을 사용하면 특정 특성을 지정하여 역할을 생성할 수 있습니다. 다음 예제 출력에서는 로사 CLI에서 Operator 역할 및 정책을 생성할
수있는 "자동 모드"를 보여줍니다. 자세한 내용은 추가 리소스의 " account-wide 역할 생성 방법"을 참조하십시오.
출력 예
I: Creating ocm role ? Role prefix: ManagedOpenShift 1 ? Enable admin capabilities for the OCM role (optional): No 2 ? Permissions boundary ARN (optional): 3 ? Role creation mode: auto 4 I: Creating role using 'arn:aws:iam::<ARN>:user/<UserName>' ? Create the 'ManagedOpenShift-OCM-Role-182' role? Yes 5 I: Created role 'ManagedOpenShift-OCM-Role-182' with ARN 'arn:aws:iam::<ARN>:role/ManagedOpenShift-OCM-Role-182' I: Linking OCM role ? OCM Role ARN: arn:aws:iam::<ARN>:role/ManagedOpenShift-OCM-Role-182 6 ? Link the 'arn:aws:iam::<ARN>:role/ManagedOpenShift-OCM-Role-182' role with organization '<AWS ARN'? Yes 7 I: Successfully linked role-arn 'arn:aws:iam::<ARN>:role/ManagedOpenShift-OCM-Role-182' with organization account '<AWS ARN>'
- 1
- 생성된 모든 AWS 리소스의 접두사 값입니다. 이 예제에서
ManagedOpenShift는 모든 AWS 리소스 앞에 추가합니다. - 2
- 이 역할에 추가 관리자 권한이 필요한 경우 선택합니다.참고
--admin옵션을 사용한 경우 이 프롬프트가 표시되지 않습니다. - 3
- 권한 경계를 설정하는 정책의 Amazon 리소스 이름(ARN)입니다.
- 4
- AWS 역할을 생성하는 방법을 선택합니다.
auto를 사용하면rosaCLI 툴이 역할 및 정책을 생성하고 연결합니다.자동모드에서는 AWS 역할을 생성하는 몇 가지 다른 프롬프트가 표시됩니다. - 5
- auto 방법은 접두사를 사용하여 특정
ocm-role을 생성할지 여부를 요청합니다. - 6
- IAM 역할을 OpenShift Cluster Manager와 연결할지 확인합니다.
- 7
- 생성된 역할을 AWS 조직과 연결합니다.
AWS IAM 역할은 클러스터를 생성하고 관리하기 위해 AWS 계정에 연결됩니다. IAM 역할을 AWS 계정과 연결하는 방법에 대한 자세한 내용은 AWS 계정 지원을 참조하십시오.
