Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

7.5. ROSA CLI 命令的最低权限

您可以使用遵循最小特权主体的权限创建角色,在其中分配了角色的用户没有其他权限分配给他们所需的特定操作范围。这些策略只包含使用 Red Hat OpenShift Service on AWS (ROSA)命令行界面(CLI)执行特定操作所需的最小权限。

重要

虽然本主题中介绍的策略和命令会相互工作,但您可能在 AWS 环境中存在其他限制,以便根据您的特定需求,这些命令的策略不足。红帽将这些示例作为基线提供,假设不存在其他 AWS Identity and Access Management (IAM)限制。

有关在 AWS 控制台中配置权限、策略和角色的更多信息,请参阅 AWS 文档中的 AWS Identity and Access Management

7.5.1. 通用 ROSA CLI 命令的最低权限
复制链接

列出 ROSA CLI 命令所需的以下最小权限适用于托管 control plane (HCP)和 Classic 集群。

7.5.1.1. 创建受管 OpenID Connect (OIDC)供应商
复制链接

运行以下命令,具有指定权限,以使用 auto 模式创建受管 OIDC 供应商。

输入

$ rosa create oidc-config --mode auto
Copy to Clipboard Toggle word wrap

policy

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateOidcConfig",
            "Effect": "Allow",
            "Action": [
                "iam:TagOpenIDConnectProvider",
                "iam:CreateOpenIDConnectProvider"
            ],
            "Resource": "*"
        }
    ]
}
Copy to Clipboard Toggle word wrap

7.5.1.2. 创建非受管 OpenID Connect 供应商
复制链接

运行以下命令,具有指定权限,以使用 auto 模式创建受管 OIDC 供应商。

输入

$ rosa create oidc-config --mode auto --managed=false
Copy to Clipboard Toggle word wrap

policy

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:TagOpenIDConnectProvider",
                "iam:ListRoleTags",
                "iam:ListRoles",
                "iam:CreateOpenIDConnectProvider",
                "s3:CreateBucket",
                "s3:PutObject",
                "s3:PutBucketTagging",
                "s3:PutBucketPolicy",
                "s3:PutObjectTagging",
                "s3:PutBucketPublicAccessBlock",
                "secretsmanager:CreateSecret",
                "secretsmanager:TagResource"
            ],
            "Resource": "*"
        }
    ]
}
Copy to Clipboard Toggle word wrap

7.5.1.3. 列出您的帐户角色
复制链接

使用指定权限运行以下命令,以列出您的帐户角色。

输入

$ rosa list account-roles
Copy to Clipboard Toggle word wrap

policy

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ListAccountRoles",
            "Effect": "Allow",
            "Action": [
                "iam:ListRoleTags",
                "iam:ListRoles"
            ],
            "Resource": "*"
        }
    ]
}
Copy to Clipboard Toggle word wrap

7.5.1.4. 列出 Operator 角色
复制链接

使用指定权限运行以下命令列出 Operator 角色。

输入

$ rosa list operator-roles
Copy to Clipboard Toggle word wrap

policy

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ListOperatorRoles",
            "Effect": "Allow",
            "Action": [
                "iam:ListRoleTags",
                "iam:ListAttachedRolePolicies",
                "iam:ListRoles",
                "iam:ListPolicyTags"
            ],
            "Resource": "*"
        }
    ]
}
Copy to Clipboard Toggle word wrap

7.5.1.5. 列出您的 OIDC 供应商
复制链接

使用指定权限运行以下命令列出您的 OIDC 供应商。

输入

$ rosa list oidc-providers
Copy to Clipboard Toggle word wrap

policy

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ListOidcProviders",
            "Effect": "Allow",
            "Action": [
                "iam:ListOpenIDConnectProviders",
                "iam:ListOpenIDConnectProviderTags"
            ],
            "Resource": "*"
        }
    ]
}
Copy to Clipboard Toggle word wrap

7.5.1.6. 验证您的配额
复制链接

使用指定权限运行以下命令,以验证您的配额。

输入

$ rosa verify quota
Copy to Clipboard Toggle word wrap

policy

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VerifyQuota",
            "Effect": "Allow",
            "Action": [
                "elasticloadbalancing:DescribeAccountLimits",
                "servicequotas:ListServiceQuotas"
            ],
            "Resource": "*"
        }
    ]
}
Copy to Clipboard Toggle word wrap

7.5.1.7. 删除受管 OIDC 配置
复制链接

使用指定权限运行以下命令,以使用 auto 模式删除受管 OIDC 配置。

输入

$ rosa delete oidc-config -–mode auto
Copy to Clipboard Toggle word wrap

policy

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DeleteOidcConfig",
            "Effect": "Allow",
            "Action": [
                "iam:ListOpenIDConnectProviders",
                "iam:DeleteOpenIDConnectProvider"
            ],
            "Resource": "*"
        }
    ]
}
Copy to Clipboard Toggle word wrap

7.5.1.8. 删除您的非受管 OIDC 配置
复制链接

运行以下命令,具有指定权限,以使用 auto 模式删除受管 OIDC 配置。

输入

$ rosa delete oidc-config -–mode auto
Copy to Clipboard Toggle word wrap

policy

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "iam:ListOpenIDConnectProviders",
                "iam:DeleteOpenIDConnectProvider",
                "secretsmanager:DeleteSecret",
                "s3:ListBucket",
                "s3:DeleteObject",
                "s3:DeleteBucket"
            ],
            "Resource": "*"
        }
    ]
}
Copy to Clipboard Toggle word wrap

7.5.2. 使用 HCP CLI 命令的通用 ROSA 的最低权限
复制链接

以下示例演示了在构建使用托管 control plane (HCP)集群的 ROSA 时最常用的 ROSA CLI 命令所需的最小特权权限。

7.5.2.1. 创建集群
复制链接

运行以下命令,具有指定权限来创建使用 HCP 集群的 ROSA。

输入

$ rosa create cluster --hosted-cp
Copy to Clipboard Toggle word wrap

policy

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateCluster",
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:ListRoleTags",
                "iam:ListAttachedRolePolicies",
                "iam:ListRoles",
                "ec2:DescribeSubnets",
                "ec2:DescribeRouteTables",
                "ec2:DescribeAvailabilityZones"
            ],
            "Resource": "*"
        }
    ]
}
Copy to Clipboard Toggle word wrap

7.5.2.2. 创建帐户角色和 Operator 角色
复制链接

使用指定权限运行以下命令,以使用 auto 模式创建帐户和 Operator 角色。

输入

$ rosa create account-roles --mode auto --hosted-cp
Copy to Clipboard Toggle word wrap

policy

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateAccountRoles",
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:UpdateAssumeRolePolicy",
                "iam:ListRoleTags",
                "iam:GetPolicy",
                "iam:TagRole",
                "iam:ListRoles",
                "iam:CreateRole",
                "iam:AttachRolePolicy",
                "iam:ListPolicyTags"
            ],
            "Resource": "*"
        }
    ]
}
Copy to Clipboard Toggle word wrap

7.5.2.3. 删除您的帐户角色
复制链接

使用指定权限运行以下命令,以删除处于 auto 模式的帐户角色。

输入

$ rosa delete account-roles -–mode auto
Copy to Clipboard Toggle word wrap

policy

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DeleteAccountRoles",
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:ListInstanceProfilesForRole",
                "iam:DetachRolePolicy",
                "iam:ListAttachedRolePolicies",
                "iam:ListRoles",
                "iam:DeleteRole",
                "iam:ListRolePolicies"
            ],
            "Resource": "*"
        }
    ]
}
Copy to Clipboard Toggle word wrap

7.5.2.4. 删除 Operator 角色
复制链接

使用指定权限运行以下命令,以自动模式删除 Operator 角色。

输入

$ rosa delete operator-roles -–mode auto
Copy to Clipboard Toggle word wrap

policy

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DeleteOperatorRoles",
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:DetachRolePolicy",
                "iam:ListAttachedRolePolicies",
                "iam:ListRoles",
                "iam:DeleteRole"
            ],
            "Resource": "*"
        }
    ]
}
Copy to Clipboard Toggle word wrap

7.5.3. 通用 ROSA Classic CLI 命令的最低权限
复制链接

以下示例演示了在构建 ROSA Classic 集群时,最常用的 ROSA CLI 命令所需的最小特权权限。

7.5.3.1. 创建集群
复制链接

运行以下命令,具有指定权限,以创建具有最小特权权限的 ROSA Classic 集群。

输入

$ rosa create cluster
Copy to Clipboard Toggle word wrap

policy

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateCluster",
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:ListRoleTags",
                "iam:ListRoles"
            ],
            "Resource": "*"
        }
    ]
}
Copy to Clipboard Toggle word wrap

7.5.3.2. 创建帐户角色和 Operator 角色
复制链接

使用指定权限运行以下命令,在 'auto' 模式中创建帐户和 Operator 角色。

输入

$ rosa create account-roles --mode auto --classic
Copy to Clipboard Toggle word wrap

policy

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateAccountOperatorRoles",
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:UpdateAssumeRolePolicy",
                "iam:ListRoleTags",
                "iam:GetPolicy",
                "iam:TagRole",
                "iam:ListRoles",
                "iam:CreateRole",
                "iam:AttachRolePolicy",
                "iam:TagPolicy",
                "iam:CreatePolicy",
                "iam:ListPolicyTags"
            ],
            "Resource": "*"
        }
    ]
}
Copy to Clipboard Toggle word wrap

7.5.3.3. 删除您的帐户角色
复制链接

使用指定权限运行以下命令,以删除处于 auto 模式的帐户角色。

输入

$ rosa delete account-roles -–mode auto
Copy to Clipboard Toggle word wrap

policy

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:ListInstanceProfilesForRole",
                "iam:DetachRolePolicy",
                "iam:ListAttachedRolePolicies",
                "iam:ListRoles",
                "iam:DeleteRole",
                "iam:ListRolePolicies",
                "iam:GetPolicy",
                "iam:ListPolicyVersions",
                "iam:DeletePolicy"
            ],
            "Resource": "*"
        }
    ]
}
Copy to Clipboard Toggle word wrap

7.5.3.4. 删除 Operator 角色
复制链接

使用指定权限运行以下命令,在 auto 模式中删除 Operator 角色。

输入

$ rosa delete operator-roles -–mode auto
Copy to Clipboard Toggle word wrap

policy

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:ListInstanceProfilesForRole",
                "iam:DetachRolePolicy",
                "iam:ListAttachedRolePolicies",
                "iam:ListRoles",
                "iam:DeleteRole",
                "iam:ListRolePolicies",
                "iam:GetPolicy",
                "iam:ListPolicyVersions",
                "iam:DeletePolicy"
            ],
            "Resource": "*"
        }
    ]
}
Copy to Clipboard Toggle word wrap

7.5.4. 没有所需权限的 ROSA CLI 命令
复制链接

以下 ROSA CLI 命令不需要权限或策略才能运行。相反,它们需要访问密钥并配置的 secret 密钥或附加的角色。

Expand
表 7.118. 命令
命令输入

列出集群

$ ROSA 列表集群

列出版本

$ ROSA 列表版本

描述集群

$ ROSA describe cluster -c <cluster name>

创建管理员

$ ROSA create admin -c <cluster name>

列出用户

$ ROSA list users -c <cluster-name>

列出升级

$ ROSA 列表升级

列出 OIDC 配置

$ ROSA list oidc-config

列出身份提供程序

$ ROSA list idps -c <cluster-name>

列出 ingresses

$ ROSA list ingresses -c <cluster-name>

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat