1.2. Q3 2025

2025 年第三季度添加了以下项目：

对 Workload Identity Federation (WIF)权限和角色的更新。managed-cluster-config 模板中的 WIF 的默认 IAM 权限已更新。这意味着新创建的 WIF 配置将减少，默认情况下 permissive 权限会减少。
- sd-sre-platform-gcp-access@redhat.com 主体不再需要 compute.firewalls.create 权限。如果 Red Hat SREs 需要这个权限，它们会通过支持问题单进行联系。
- osd-deployer 服务帐户不再需要 resourcemanager.projects.setIamPolicy 权限，这个权限已被删除。
- osd-deployer 服务帐户不再使用 iam.serviceAccounts.signBlob 权限。这已被 iam.serviceAccountTokenCreator 角色替代，它现在被分配给需要它的服务帐户。
- osd-deployer 服务帐户不再使用 iam.serviceAccounts.actAs 权限。这已被 iam.serviceAccountUser 角色替代，现在被特别分配给需要它的服务帐户。

如果您已有 wif-config 实例，可以通过运行 ocm gcp update wif-config 命令来获取这些新的、更小的 permissive 权限。如需更多信息，请参阅更新 Workload Identify Federation 配置。

Workload Identify Federation (WIF)现在是 Google Cloud 上 OpenShift Dedicated 集群的默认身份验证类型。与最小特权和 Google Cloud 首选凭证身份验证原则一致，WIF 现在是在 Google Cloud 上创建 OpenShift Dedicated 集群时的默认身份验证类型。WIF 通过使用简短的、最低特权凭证和消除对静态服务帐户密钥的需求，改进了 OpenShift Dedicated 集群的恢复功能。如需更多信息，请参阅使用 Workload Identity Federation 身份验证在 Google Cloud 上创建集群。
支持在专用 Google Cloud 项目中管理工作负载身份池和供应商。Google Cloud 上的 OpenShift Dedicated 现在支持在创建 WIF 配置期间在指定专用项目中创建和管理工作负载身份池和供应商的选项。红帽计划在即将发布的版本中为现有 WIF 配置提供此选项。如需更多信息，请参阅创建工作负载识别联邦配置。

返回顶部