2.2. 客户要求
在 Amazon Web Services (AWS) 上使用客户云订阅 (CCS) 模型的 OpenShift Dedicated 集群必须满足几个先决条件,然后才能进行部署。
2.2.1. 帐户
- 客户可确保 AWS 限制 足以支持在客户提供的 AWS 帐户中置备的 OpenShift Dedicated。
客户提供的 AWS 帐户应该位于客户的 AWS 机构中,并应用了适用服务控制策略 (SCP)。
注意不要求客户的帐户位于 AWS 机构内或要应用的 SCP,但红帽必须能够在不限制任何限制的情况下执行 SCP 中列出的所有操作。
- 客户提供的 AWS 帐户不能转移到红帽。
- 客户可能没有对红帽的活动实施 AWS 使用限制。实施限制会严重破坏红帽响应事件的能力。
- 红帽会在 AWS 中部署监控,以便在有高特权的帐户(如 root 帐户)登录到客户提供的 AWS 帐户时提醒红帽。
客户可以在同一客户提供的 AWS 帐户内部署原生 AWS 服务。
注意我们鼓励客户在虚拟私有云 (VPC) 中部署资源,并与托管 OpenShift Dedicated 和其他红帽支持服务的 VPC 部署资源。
2.2.2. 访问要求
要在 AWS 服务上正确管理 OpenShift Dedicated 服务,红帽始终必须将
AdministratorAccess策略应用到管理员角色。注意此政策只为红帽提供了更改客户提供的 AWS 帐户资源的权限和功能。
- 红帽必须具有对客户提供的 AWS 帐户的 AWS 控制台访问权限。此访问权限由红帽保护和管理。
- 客户不得使用 AWS 帐户在 OpenShift Dedicated 集群中提升其权限。
- OpenShift Cluster Manager 中可用的操作不能直接在客户提供的 AWS 帐户中执行。
2.2.3. 支持要求
- 红帽建议客户至少有 AWS 的商业支持(Business Support)。
- 红帽由客户的授权,可以代表他们请求 AWS 支持。
- 红帽的客户授权可以请求对客户账户增加 AWS 资源限制。
- 除非本要求部分中另有指定,否则红帽以相同的方式管理所有 OpenShift Dedicated 集群上的限制、预期和默认值。
2.2.4. 安全要求
- 客户提供的 IAM 凭证对于客户提供的 AWS 帐户来说必须是唯一的,且不得存储在客户提供的 AWS 帐户中的任何位置。
- 卷快照将保留在客户提供的 AWS 帐户和客户指定的区域。
- 红帽必须通过白名单的红帽机器对 EC2 主机和 API 服务器进行入口访问。
- 红帽需要有一个出口,可以将系统和审计日志转发到红帽管理的中央日志记录环境中。
