2장. OpenShift Cluster Manager IAM 역할 리소스
Red Hat OpenShift Service on AWS (ROSA) 웹 UI를 사용하려면 OpenShift Cluster Manager Hybrid Cloud Console 및 rosa
CLI(명령줄 인터페이스)에서 최종 사용자 환경을 제공하기 위해 신뢰 관계를 생성하는 AWS 계정에 대한 특정 권한이 있어야 합니다.
이러한 신뢰 관계가 ocm-role
AWS IAM 역할의 생성 및 연관을 통해 이루어집니다. 이 역할에는 Red Hat 계정을 AWS 계정에 연결하는 AWS 설치 프로그램과의 신뢰 정책이 있습니다. 또한 이러한 사용자를 식별하는 데 사용되는 각 웹 UI 사용자에 대한 사용자 역할
AWS IAM 역할도 필요합니다. 이 사용자 역할
AWS IAM 역할에는 권한이 없습니다.
OpenShift Cluster Manager를 사용하는 데 필요한 AWS IAM 역할은 다음과 같습니다.
-
ocm-role
-
user-role
CLI 또는 OpenShift Cluster Manager 웹 UI를 사용하여 클러스터를 관리하든, rosa CLI를 사용하여 rosa
rosa
CLI에서 account-roles
라는 계정 전체 역할을 생성해야 합니다. 이러한 계정 역할은 첫 번째 클러스터에 필요하며 이러한 역할을 여러 클러스터에서 사용할 수 있습니다. 이러한 필수 계정 역할은 다음과 같습니다.
-
worker-Role
-
support-Role
-
installer-Role
-
ControlPlane-Role
역할 생성에서는 AWS 액세스 또는 시크릿 키를 요청하지 않습니다. AWS STS(Security Token Service)는 이 워크플로의 기반으로 사용됩니다. AWS STS는 제한된 임시 자격 증명을 사용하여 인증을 제공합니다.
이러한 역할 생성에 대한 자세한 내용은 계정 전체 IAM 역할 및 정책 참조 를 참조하십시오.
rosa
CLI에서 operator-roles
라고 하는 클러스터별 Operator 역할은 백엔드 스토리지, 수신 및 레지스트리 관리와 같은 클러스터 작업을 수행하는 데 필요한 임시 권한을 얻습니다. 이러한 역할은 사용자가 생성하는 클러스터에 필요합니다. 이러한 필수 Operator 역할은 다음과 같습니다.
-
<cluster_name>-<hash>-openshift-cluster-csi-drivers-ebs-cloud-credentials
-
<cluster_name>-<hash>-openshift-cloud-network-config-controller-credentials
-
<cluster_name>-<hash>-openshift-machine-api-aws-cloud-credentials
-
<cluster_name>-<hash>-openshift-cloud-credential-operator-cloud-credentials
-
<cluster_name>-<hash>-openshift-image-registry-installer-cloud-credentials
-
<cluster_name>-<hash>-openshift-ingress-operator-cloud-credentials
이러한 역할 생성에 대한 자세한 내용은 클러스터별 Operator IAM 역할 참조 를 참조하십시오.
2.1. ocm-role IAM 리소스 정보
ROSA 클러스터를 생성하려면 ocm-role
IAM 리소스를 생성하여 Red Hat 사용자 조직을 활성화해야 합니다. AWS와의 연결 컨텍스트에서 Red Hat 조직은 OpenShift Cluster Manager 내의 단일 사용자입니다.
ocm-role
IAM 리소스에 대한 몇 가지 고려 사항은 다음과 같습니다.
-
Red Hat 조직당 하나의
ocm-role
IAM 역할만 연결할 수 있지만 AWS 계정마다 여러 개의ocm-role
IAM 역할을 보유할 수 있습니다. 웹 UI를 사용하려면 이러한 역할 중 하나만 한 번에 연결할 수 있어야 합니다. -
Red Hat 조직의 모든 사용자는
ocm-role
IAM 리소스를 생성하고 연결할 수 있습니다. Red Hat 조직 관리자만
ocm-role
IAM 리소스의 연결을 해제할 수 있습니다. 이러한 제한은 다른 Red Hat 조직 멤버가 다른 사용자의 인터페이스 기능을 방해하지 않도록하기 위한 것입니다.참고기존 조직에 포함되지 않은 Red Hat 계정을 생성한 경우 이 계정도 Red Hat 조직 관리자입니다.
-
기본 및 관리자
ocm-role
IAM 리소스에 대한 AWS 권한 정책 목록은 이 섹션의 추가 리소스에서 "OpenShift Cluster Manager 역할 이해"를 참조하십시오.
rosa
CLI를 사용하면 이를 생성할 때 IAM 리소스를 연결할 수 있습니다.
AWS 계정과 IAM 리소스를 "연결"하거나 "연결"한다는 것은 ocm-role
IAM 역할 및 Red Hat OpenShift Cluster Manager AWS 역할로 trust-policy를 생성하는 것을 의미합니다. IAM 리소스를 생성 및 연결하면 arn:aws:iam::7333:role/RH-Managed-OpenShift-Installer
리소스와 함께 AWS의 ocm-role
IAM 리소스에서 신뢰 관계가 표시됩니다.
Red Hat 조직 관리자가 ocm-role
IAM 리소스를 생성하고 연결한 후에는 모든 조직 멤버가 고유한 사용자 역할 IAM 역할을
생성하고 연결할 수 있습니다. 이 IAM 리소스는 사용자당 한 번만 생성하고 연결해야 합니다. Red Hat 조직의 다른 사용자가 이미 ocm-role
IAM 리소스를 생성하고 연결된 경우 자체 user-role
IAM 역할을 생성하고 연결했는지 확인해야 합니다.
추가 리소스
2.1.1. OpenShift Cluster Manager IAM 역할 생성
CLI(명령줄 인터페이스)를 사용하여 OpenShift Cluster Manager IAM 역할을 생성합니다.
사전 요구 사항
- AWS 계정이 있습니다.
- OpenShift Cluster Manager 조직에 Red Hat 조직 관리자 권한이 있어야 합니다.
- AWS 계정 전체 역할을 설치하는 데 필요한 권한이 있습니다.
-
설치 호스트에 최신 AWS(
aws
) 및 ROSA(rosa
) CLI를 설치하고 구성했습니다.
절차
기본 권한으로 ocm-role IAM 역할을 생성하려면 다음 명령을 실행합니다.
$ rosa create ocm-role
admin 권한으로 ocm-role IAM 역할을 생성하려면 다음 명령을 실행합니다.
$ rosa create ocm-role --admin
이 명령을 사용하면 특정 특성을 지정하여 역할을 생성할 수 있습니다. 다음 예제 출력에서는 로사 CLI에서 Operator 역할 및 정책을 생성할
수
있는 "자동 모드"를 보여줍니다. 자세한 내용은 추가 리소스의 " account-wide 역할 생성 방법"을 참조하십시오.
출력 예
I: Creating ocm role ? Role prefix: ManagedOpenShift 1 ? Enable admin capabilities for the OCM role (optional): No 2 ? Permissions boundary ARN (optional): 3 ? Role creation mode: auto 4 I: Creating role using 'arn:aws:iam::<ARN>:user/<UserName>' ? Create the 'ManagedOpenShift-OCM-Role-182' role? Yes 5 I: Created role 'ManagedOpenShift-OCM-Role-182' with ARN 'arn:aws:iam::<ARN>:role/ManagedOpenShift-OCM-Role-182' I: Linking OCM role ? OCM Role ARN: arn:aws:iam::<ARN>:role/ManagedOpenShift-OCM-Role-182 6 ? Link the 'arn:aws:iam::<ARN>:role/ManagedOpenShift-OCM-Role-182' role with organization '<AWS ARN'? Yes 7 I: Successfully linked role-arn 'arn:aws:iam::<ARN>:role/ManagedOpenShift-OCM-Role-182' with organization account '<AWS ARN>'
- 1
- 생성된 모든 AWS 리소스의 접두사 값입니다. 이 예제에서
ManagedOpenShift
는 모든 AWS 리소스 앞에 추가합니다. - 2
- 이 역할에 추가 관리자 권한이 필요한 경우 선택합니다.참고
--admin
옵션을 사용한 경우 이 프롬프트가 표시되지 않습니다. - 3
- 권한 경계를 설정하는 정책의 Amazon 리소스 이름(ARN)입니다.
- 4
- AWS 역할을 생성하는 방법을 선택합니다.
auto
를 사용하면rosa
CLI 툴이 역할 및 정책을 생성하고 연결합니다.자동
모드에서는 AWS 역할을 생성하는 몇 가지 다른 프롬프트가 표시됩니다. - 5
- auto 방법은 접두사를 사용하여 특정
ocm-role
을 생성할지 여부를 요청합니다. - 6
- IAM 역할을 OpenShift Cluster Manager와 연결할지 확인합니다.
- 7
- 생성된 역할을 AWS 조직과 연결합니다.