2.2. 사용자 역할 IAM 역할 정보
해당 사용자가 ROSA 클러스터를 생성할 수 있도록 웹 UI 사용자당 사용자 역할
IAM 역할을 생성해야 합니다.
사용자 역할 IAM 역할에
대한 몇 가지 고려 사항은 다음과 같습니다.
-
Red Hat
사용자 계정당 하나의 사용자 역할
IAM 역할만 필요하지만 Red Hat 조직에는 이러한 IAM 리소스가 많이 있을 수 있습니다. -
Red Hat 조직의 모든 사용자는 사용자
역할 IAM 역할을
생성하고 연결할 수 있습니다. -
Red Hat 조직당 AWS 계정당 다양한
사용자 역할
IAM 역할이 있을 수 있습니다. -
Red Hat은
사용자 역할
IAM 역할을 사용하여 사용자를 식별합니다. 이 IAM 리소스에는 AWS 계정 권한이 없습니다. -
AWS 계정에는 여러
사용자 역할 IAM 역할이
있을 수 있지만 각 IAM 역할을 Red Hat 조직의 각 사용자에게 연결해야 합니다. 어떤 사용자는 두 개 이상의 연결된사용자 역할 IAM 역할을
가질 수 없습니다.
AWS 계정과 IAM 리소스를 "연결"하거나 "연결"한다는 것은 사용자 역할 IAM 역할
및 Red Hat OpenShift Cluster Manager AWS 역할로 신뢰 정책을 생성하는 것을 의미합니다. 이 IAM 리소스를 생성하고 연결한 후 AWS의 사용자 역할
IAM 역할에서 arn:aws:iam::710019948333:role/RH-Managed-OpenShift-Installer
리소스를 사용하여 신뢰 관계가 표시됩니다.
2.2.1. 사용자 역할 IAM 역할 생성
CLI(명령줄 인터페이스)를 사용하여 OpenShift Cluster Manager IAM 역할을 생성할 수 있습니다.
사전 요구 사항
- AWS 계정이 있습니다.
-
설치 호스트에 최신 AWS(
aws
) 및 ROSA(rosa
) CLI를 설치하고 구성했습니다.
절차
기본 권한으로 ocm-role IAM 역할을 생성하려면 다음 명령을 실행합니다.
$ rosa create user-role
이 명령을 사용하면 특정 특성을 지정하여 역할을 생성할 수 있습니다. 다음 예제 출력에서는 로사 CLI에서 Operator 역할 및 정책을 생성할
수
있는 "자동 모드"를 보여줍니다. 자세한 내용은 추가 리소스의 "자동 및 수동 배포 모드 이해"를 참조하십시오.
출력 예
I: Creating User role ? Role prefix: ManagedOpenShift 1 ? Permissions boundary ARN (optional): 2 ? Role creation mode: auto 3 I: Creating ocm user role using 'arn:aws:iam::2066:user' ? Create the 'ManagedOpenShift-User.osdocs-Role' role? Yes 4 I: Created role 'ManagedOpenShift-User.osdocs-Role' with ARN 'arn:aws:iam::2066:role/ManagedOpenShift-User.osdocs-Role' I: Linking User role ? User Role ARN: arn:aws:iam::2066:role/ManagedOpenShift-User.osdocs-Role ? Link the 'arn:aws:iam::2066:role/ManagedOpenShift-User.osdocs-Role' role with account '1AGE'? Yes 5 I: Successfully linked role ARN 'arn:aws:iam::2066:role/ManagedOpenShift-User.osdocs-Role' with account '1AGE'
- 1
- 생성된 모든 AWS 리소스의 접두사 값입니다. 이 예제에서
ManagedOpenShift
는 모든 AWS 리소스 앞에 추가합니다. - 2
- 권한 경계를 설정하는 정책의 Amazon 리소스 이름(ARN)입니다.
- 3
- AWS 역할을 생성하는 방법을 선택합니다.
auto
를 사용하여rosa
CLI 툴에서 역할을 생성하고 AWS 계정에 연결합니다.자동
모드에서는 AWS 역할을 생성하는 몇 가지 다른 프롬프트가 표시됩니다. - 4
- auto 방법은 접두사를 사용하여 특정
사용자 역할을
생성할지 여부를 요청합니다. - 5
- 생성된 역할을 AWS 조직과 연결합니다.
클러스터를 삭제하기 전에 사용자 역할 IAM 역할을
연결 해제하거나 삭제하면 클러스터를 삭제할 수 없습니다. 삭제 프로세스를 진행하려면 이 역할을 생성하거나 다시 연결해야 합니다. 자세한 내용은 삭제할 수 없는 클러스터를 참조하십시오.