第 3 章 AWS STS 和 ROSA with HCP 解释
带有托管 control plane (HCP)的 Red Hat OpenShift Service on AWS (ROSA)将 AWS (Amazon Web Services)安全令牌服务(STS)用于 AWS Identity Access Management (IAM)来获取所需的凭证,以便与 AWS 帐户中的资源交互。
3.1. AWS STS 凭证方法
作为使用 HCP 的 ROSA 的一部分,红帽必须获得管理 AWS 帐户中的基础架构资源所需的权限。使用 HCP 的 ROSA 授予集群的自动化软件有限,对 AWS 帐户中资源的短期访问权限。
STS 方法使用预定义的角色和策略为 IAM 角色授予临时、最低特权权限。凭证通常在请求后的一小时后过期。到期后,AWS 不再识别它们,不再有来自使用它们的 API 请求的帐户访问权限。如需更多信息,请参阅 AWS 文档。
必须为每个使用 HCP 集群的 ROSA 创建 AWS IAM STS 角色。ROSA 命令行界面(CLI) (rosa)管理 STS 角色,并帮助您将特定于 ROSA 的 AWS 管理策略附加到每个角色。CLI 提供了用于创建角色、附加 AWS 管理的策略的命令和文件,以及允许 CLI 自动创建角色和附加策略的选项。
