2.5. Red Hat Managed IAM 参考
红帽负责创建和管理以下 Amazon Web Services (AWS)资源:IAM 策略、IAM 用户和 IAM 角色。
2.5.1. IAM 策略
IAM 策略会随着 OpenShift Dedicated 更改的功能而进行修改。
AdministratorAccess策略由管理角色使用。此政策提供了在客户提供的 AWS 帐户中管理 OpenShift Dedicated 集群所需的访问权限。{ "Version": "2012-10-17", "Statement": [ { "Action": "*", "Resource": "*", "Effect": "Allow" } ] }CustomerAdministratorAccess角色为客户提供管理 AWS 帐户中的服务子集的访问权限。目前,允许以下内容:- VPC Peering
- VPN 设置
直接连接(仅在通过服务控制策略授予时才可用)
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:AttachVpnGateway", "ec2:DescribeVpnConnections", "ec2:AcceptVpcPeeringConnection", "ec2:DeleteVpcPeeringConnection", "ec2:DescribeVpcPeeringConnections", "ec2:CreateVpnConnectionRoute", "ec2:RejectVpcPeeringConnection", "ec2:DetachVpnGateway", "ec2:DeleteVpnConnectionRoute", "ec2:DeleteVpnGateway", "ec2:DescribeVpcs", "ec2:CreateVpnGateway", "ec2:ModifyVpcPeeringConnectionOptions", "ec2:DeleteVpnConnection", "ec2:CreateVpcPeeringConnection", "ec2:DescribeVpnGateways", "ec2:CreateVpnConnection", "ec2:DescribeRouteTables", "ec2:CreateTags", "ec2:CreateRoute", "directconnect:*" ], "Resource": "*" } ] }
如果启用,
BillingReadOnlyAccess角色会提供只读访问权限,以查看帐户的计费和使用信息。只有 AWS 机构中的 root 帐户启用了它时,才会授予计费和使用访问权限。这是客户必须执行的可选步骤,才能启用只读账单和使用访问,不会影响创建此配置集及其使用的角色。如果没有启用此角色,用户将不会看到计费和使用信息。请参阅本教程,了解如何启用对计费数据的访问。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-portal:ViewAccount", "aws-portal:ViewBilling" ], "Resource": "*" } ] }
2.5.2. IAM 用户
在控制客户提供的 AWS 帐户后,将立即创建 osdManagedAdmin 用户。这是将执行 OpenShift Dedicated 集群安装的用户。
2.5.3. IAM 角色
network-mgmt角色通过单独的 AWS 帐户提供对 AWS 帐户的管理访问权限。它还具有与只读角色相同的访问权限。network-mgmt角色只适用于非自定义云订阅 (CCS) 集群。以下策略附加到角色中:- AmazonEC2ReadOnlyAccess
- CustomerAdministratorAccess
只读角色通过单独的 AWS 帐户提供对 AWS 帐户的只读访问权限。以下策略附加到角色中:- AWSAccountUsageReportAccess
- AmazonEC2ReadOnlyAccess
- AmazonS3ReadOnlyAccess
- IAMReadOnlyAccess
- BillingReadOnlyAccess
