5.3. 步骤三 - VPC Owner：更新共享 VPC 角色并创建托管区

流程

1. 在 AWS 控制台的 Resource Access Manager 中，创建一个资源共享，该资源共享之前创建的 VPC 的公共和专用子网与 Cluster Creator 的 AWS 帐户 ID。

2. 更新 Route 53 角色，并将 Installer 和 Ingress Operator Cloud Credentials 角色添加到信任策略的 principal 部分。

   {
     "Version": "2012-10-17",
     "Statement": [
       {
   	  "Sid": "Statement1",
   	  "Effect": "Allow",
   	  "Principal": {
   	  	"AWS": [
             "arn:aws:iam::<Cluster-Creator's-AWS-Account-ID>:role/<prefix>-ingress-operator-cloud-credentials",
             "arn:aws:iam::<Cluster-Creator's-AWS-Account-ID>:role/<prefix>-hcp-Installer-Role",
             "arn:aws:iam::<Cluster-Creator's-AWS-Account-ID>:role/<prefix>-control-plane-operator-cloud-credentials"
           ]
   	  },
   	  "Action": "sts:AssumeRole"
   	}
     ]
   }

   Copy to Clipboard Toggle word wrap

3. 更新 VPC 端点角色，并将 Installer 和 Ingress Operator Cloud Credentials 角色添加到信任策略的 principal 部分。

   {
     "Version": "2012-10-17",
     "Statement": [
       {
   	  "Sid": "Statement1",
   	  "Effect": "Allow",
   	  "Principal": {
   	  	"AWS": [
             "arn:aws:iam::<Cluster-Creator's-AWS-Account-ID>:role/<prefix>-hcp-Installer-Role",
             "arn:aws:iam::<Cluster-Creator's-AWS-Account-ID>:role/<prefix>-control-plane-operator-cloud-credentials"
           ]
   	  },
   	  "Action": "sts:AssumeRole"
   	}
     ]
   }

   Copy to Clipboard Toggle word wrap
4. 在 AWS 控制台的 Route 53 部分中 创建一个私有托管区。在托管区配置中，域名是 rosa.<cluster-name>.<base-domain>。私有托管区必须与网络所有者的 VPC 关联。
5. 在 AWS 控制台的 Route 53 部分中 创建一个本地托管区。在托管区配置中，域名是 < cluster-name>.hypershift.local。本地托管区必须与网络所有者的 VPC 关联。

6. 创建托管区并与网络所有者的 VPC 关联后，为 Cluster Creator 提供以下内容以继续配置：

   • 托管区 ID
   • AWS 区域
   • 子网 ID