3장. AWS 클래식 아키텍처 IAM 역할 리소스에 대한 Red Hat OpenShift Service

AWS 클래식 아키텍처 클러스터에서 Red Hat OpenShift Service를 생성하고 관리하려면 계정 전체 역할이 여러 개 필요합니다. 이러한 역할은 AWS 계정당 한 번만 생성해야 하며 각 클러스터에 대해 새로 생성할 필요가 없습니다. 하나 이상의 AWS 관리 정책이 각 역할에 연결되어 해당 역할에 필요한 기능을 부여합니다. 자체 접두사를 지정하거나 기본 접두사(ManagedOpenShift)를 사용할 수 있습니다.

다음 계정 전체 역할이 필요합니다.

기본적으로 제공되는 여러 기능을 포함한 일부 클러스터 기능은 Operator를 사용하여 관리합니다. 이러한 기능을 사용하려면 클러스터별 Operator 역할( ROSA CLI의operator-roles )이 필요합니다. 이러한 역할은 백엔드 스토리지, 인그레스 및 레지스트리 관리와 같은 클러스터 작업을 수행하는 데 필요한 임시 권한을 가져오는 데 사용됩니다. 이러한 권한을 얻으려면 AWS 리소스에 대한 Operator 액세스를 인증하기 위해 AWS STS(보안 토큰 서비스)에 연결하는 OpenID Connect(OIDC) 공급자를 구성해야 합니다.

AWS 클래식 아키텍처 클러스터의 Red Hat OpenShift Service에는 다음 Operator 역할이 필요합니다.

웹 사용자 인터페이스인 OpenShift Cluster Manager를 사용하려면 AWS 계정과 OpenShift Cluster Manager 간의 신뢰 관계를 생성하기 위해 AWS 계정에 추가 역할을 생성해야 합니다.

이 신뢰 관계는 ocm-role AWS IAM 역할의 생성 및 연결을 통해 수행됩니다. 이 역할에는 Red Hat 계정을 AWS 계정에 연결하는 AWS 설치 프로그램과의 신뢰 정책이 있습니다. 또한 이러한 사용자를 식별하는 데 사용되는 각 웹 UI 사용자에 대해 user-role AWS IAM 역할도 필요합니다. 이 user-role AWS IAM 역할에는 권한이 없습니다.

OpenShift Cluster Manager를 사용하려면 다음 AWS IAM 역할이 필요합니다.