2장. OpenShift Cluster Manager IAM 역할 리소스
Red Hat OpenShift Service on AWS (ROSA) 웹 UI를 사용하려면 OpenShift Cluster Manager Hybrid Cloud Console 및 rosa
CLI(명령줄 인터페이스)에서 최종 사용자 환경을 제공하기 위해 신뢰 관계를 생성하는 AWS 계정에 대한 특정 권한이 있어야 합니다.
이러한 신뢰 관계가 ocm-role
AWS IAM 역할의 생성 및 연관을 통해 이루어집니다. 이 역할에는 Red Hat 계정을 AWS 계정에 연결하는 AWS 설치 프로그램과의 신뢰 정책이 있습니다. 또한 이러한 사용자를 식별하는 데 사용되는 각 웹 UI 사용자에 대한 사용자 역할
AWS IAM 역할도 필요합니다. 이 사용자 역할
AWS IAM 역할에는 권한이 없습니다.
OpenShift Cluster Manager를 사용하는 데 필요한 AWS IAM 역할은 다음과 같습니다.
-
ocm-role
-
user-role
CLI 또는 OpenShift Cluster Manager 웹 UI를 사용하여 클러스터를 관리하든, rosa CLI를 사용하여 rosa
rosa
CLI에서 account-roles
라는 계정 전체 역할을 생성해야 합니다. 이러한 계정 역할은 첫 번째 클러스터에 필요하며 이러한 역할을 여러 클러스터에서 사용할 수 있습니다. 이러한 필수 계정 역할은 다음과 같습니다.
-
worker-Role
-
support-Role
-
installer-Role
-
ControlPlane-Role
역할 생성에서는 AWS 액세스 또는 시크릿 키를 요청하지 않습니다. AWS STS(Security Token Service)는 이 워크플로의 기반으로 사용됩니다. AWS STS는 제한된 임시 자격 증명을 사용하여 인증을 제공합니다.
이러한 역할 생성에 대한 자세한 내용은 계정 전체 IAM 역할 및 정책 참조 를 참조하십시오.
rosa
CLI에서 operator-roles
라고 하는 클러스터별 Operator 역할은 백엔드 스토리지, 수신 및 레지스트리 관리와 같은 클러스터 작업을 수행하는 데 필요한 임시 권한을 얻습니다. 이러한 역할은 사용자가 생성하는 클러스터에 필요합니다. 이러한 필수 Operator 역할은 다음과 같습니다.
-
<cluster_name>-<hash>-openshift-cluster-csi-drivers-ebs-cloud-credentials
-
<cluster_name>-<hash>-openshift-cloud-network-config-controller-credentials
-
<cluster_name>-<hash>-openshift-machine-api-aws-cloud-credentials
-
<cluster_name>-<hash>-openshift-cloud-credential-operator-cloud-credentials
-
<cluster_name>-<hash>-openshift-image-registry-installer-cloud-credentials
-
<cluster_name>-<hash>-openshift-ingress-operator-cloud-credentials
이러한 역할 생성에 대한 자세한 내용은 클러스터별 Operator IAM 역할 참조 를 참조하십시오.
2.1. ocm-role IAM 리소스 정보 링크 복사링크가 클립보드에 복사되었습니다!
ROSA 클러스터를 생성하려면 ocm-role
IAM 리소스를 생성하여 Red Hat 사용자 조직을 활성화해야 합니다. AWS와의 연결 컨텍스트에서 Red Hat 조직은 OpenShift Cluster Manager 내의 단일 사용자입니다.
ocm-role
IAM 리소스에 대한 몇 가지 고려 사항은 다음과 같습니다.
-
Red Hat 조직당 하나의
ocm-role
IAM 역할만 연결할 수 있지만 AWS 계정마다 여러 개의ocm-role
IAM 역할을 보유할 수 있습니다. 웹 UI를 사용하려면 이러한 역할 중 하나만 한 번에 연결할 수 있어야 합니다. -
Red Hat 조직의 모든 사용자는
ocm-role
IAM 리소스를 생성하고 연결할 수 있습니다. Red Hat 조직 관리자만
ocm-role
IAM 리소스의 연결을 해제할 수 있습니다. 이러한 제한은 다른 Red Hat 조직 멤버가 다른 사용자의 인터페이스 기능을 방해하지 않도록하기 위한 것입니다.참고기존 조직에 포함되지 않은 Red Hat 계정을 생성한 경우 이 계정도 Red Hat 조직 관리자입니다.
-
기본 및 관리자
ocm-role
IAM 리소스에 대한 AWS 권한 정책 목록은 이 섹션의 추가 리소스에서 "OpenShift Cluster Manager 역할 이해"를 참조하십시오.
rosa
CLI를 사용하면 이를 생성할 때 IAM 리소스를 연결할 수 있습니다.
AWS 계정과 IAM 리소스를 "연결"하거나 "연결"한다는 것은 ocm-role
IAM 역할 및 Red Hat OpenShift Cluster Manager AWS 역할로 trust-policy를 생성하는 것을 의미합니다. IAM 리소스를 생성 및 연결하면 arn:aws:iam::7333:role/RH-Managed-OpenShift-Installer
리소스와 함께 AWS의 ocm-role
IAM 리소스에서 신뢰 관계가 표시됩니다.
Red Hat 조직 관리자가 ocm-role
IAM 리소스를 생성하고 연결한 후에는 모든 조직 멤버가 고유한 사용자 역할 IAM 역할을
생성하고 연결할 수 있습니다. 이 IAM 리소스는 사용자당 한 번만 생성하고 연결해야 합니다. Red Hat 조직의 다른 사용자가 이미 ocm-role
IAM 리소스를 생성하고 연결된 경우 자체 user-role
IAM 역할을 생성하고 연결했는지 확인해야 합니다.
추가 리소스
2.1.1. OpenShift Cluster Manager IAM 역할 생성 링크 복사링크가 클립보드에 복사되었습니다!
CLI(명령줄 인터페이스)를 사용하여 OpenShift Cluster Manager IAM 역할을 생성합니다.
사전 요구 사항
- AWS 계정이 있습니다.
- OpenShift Cluster Manager 조직에 Red Hat 조직 관리자 권한이 있어야 합니다.
- AWS 계정 전체 역할을 설치하는 데 필요한 권한이 있습니다.
-
설치 호스트에 최신 AWS(
aws
) 및 ROSA(rosa
) CLI를 설치하고 구성했습니다.
절차
기본 권한으로 ocm-role IAM 역할을 생성하려면 다음 명령을 실행합니다.
rosa create ocm-role
$ rosa create ocm-role
Copy to Clipboard Copied! Toggle word wrap Toggle overflow admin 권한으로 ocm-role IAM 역할을 생성하려면 다음 명령을 실행합니다.
rosa create ocm-role --admin
$ rosa create ocm-role --admin
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이 명령을 사용하면 특정 특성을 지정하여 역할을 생성할 수 있습니다. 다음 예제 출력에서는 로사 CLI에서 Operator 역할 및 정책을 생성할
수
있는 "자동 모드"를 보여줍니다. 자세한 내용은 추가 리소스의 " account-wide 역할 생성 방법"을 참조하십시오.
출력 예
- 1
- 생성된 모든 AWS 리소스의 접두사 값입니다. 이 예제에서
ManagedOpenShift
는 모든 AWS 리소스 앞에 추가합니다. - 2
- 이 역할에 추가 관리자 권한이 필요한 경우 선택합니다.참고
--admin
옵션을 사용한 경우 이 프롬프트가 표시되지 않습니다. - 3
- 권한 경계를 설정하는 정책의 Amazon 리소스 이름(ARN)입니다.
- 4
- AWS 역할을 생성하는 방법을 선택합니다.
auto
를 사용하면rosa
CLI 툴이 역할 및 정책을 생성하고 연결합니다.자동
모드에서는 AWS 역할을 생성하는 몇 가지 다른 프롬프트가 표시됩니다. - 5
- auto 방법은 접두사를 사용하여 특정
ocm-role
을 생성할지 여부를 요청합니다. - 6
- IAM 역할을 OpenShift Cluster Manager와 연결할지 확인합니다.
- 7
- 생성된 역할을 AWS 조직과 연결합니다.