红帽全球峰会2.4. IBM Cloud VPC IAM 策略和 API 密钥
要将 OpenShift Container Platform 安装到 IBM Cloud 帐户中,安装程序需要一个 IAM API 密钥,它提供访问 IBM Cloud 服务 API 的身份验证和授权。您可以使用包含所需策略的现有 IAM API 密钥或创建新策略。
有关 IBM Cloud IAM 概述,请参阅 IBM Cloud 文档。
2.4.1. 所需的访问策略
您必须为 IBM Cloud 帐户分配所需的访问策略。
| 服务类型 | service | 访问策略范围 | 平台访问 | 服务访问 |
|---|---|---|---|---|
| 帐户管理 | IAM Identity Service | 所有资源或资源子集 [1] | Editor, Operator, Viewer, Administrator | 服务 ID 创建者 |
| 帐户管理 [2] | 身份和访问权限管理 | 所有资源 | Editor, Operator, Viewer, Administrator | |
| 帐户管理 | 仅限资源组 | 帐户中的所有资源组 | Administrator | |
| IAM 服务 | 云对象存储 | 所有资源或资源子集 [1] | Editor, Operator, Viewer, Administrator | Reader, Writer, Manager, Content Reader, Object Reader, Object Writer |
| IAM 服务 | Internet 服务 | 所有资源或资源子集 [1] | Editor, Operator, Viewer, Administrator | Reader、Writer、Manager |
| IAM 服务 | DNS 服务 | 所有资源或资源子集 [1] | Editor, Operator, Viewer, Administrator | Reader、Writer、Manager |
| IAM 服务 | VPC 基础架构服务 | 所有资源或资源子集 [1] | Editor, Operator, Viewer, Administrator | Reader、Writer、Manager |
- 应根据您要分配访问权限的粒度来设置策略访问范围。范围可以设置为 All resources 或 基于所选属性的资源。
- 可选:只有安装程序创建资源组时才需要此访问策略。有关资源组的更多信息,请参阅 IBM 文档。
2.4.2. 访问策略分配
在 IBM Cloud VPC IAM 中,可以将访问策略附加到不同的主题:
- 访问组(推荐)
- 服务 ID
- 用户
建议的方法是在访问组中定义 IAM 访问策略。这有助于组织 OpenShift Container Platform 所需的所有访问权限,并可让您向这个组注册用户和服务 ID。如果需要,您还可以为 用户和服务 ID 分配访问权限。
2.4.3. 创建 API 密钥
您必须为 IBM Cloud 帐户创建用户 API 密钥或服务 ID API 密钥。
先决条件
- 您已为 IBM Cloud 帐户分配了所需的访问策略。
- 您已将 IAM 访问策略附加到访问组或其他适当的资源。
