11.4. 配置 AWS 帐户
完成 AWS 的先决条件后,配置 AWS 帐户并启用 Red Hat OpenShift Service on AWS (ROSA)服务。
AWS 安全令牌服务 (STS) 是推荐的凭证模式,用于安装 Red Hat OpenShift Service on AWS (ROSA) 集群并与之交互,因为它提供了增强的安全性。
11.4.1. 配置 AWS 帐户
要将 AWS 帐户配置为使用 ROSA 服务,请完成以下步骤。
前提条件
- 检查并完成部署先决条件和策略。
- 如果还没有 红帽帐户,请创建一个红帽帐户。然后,检查您的电子邮件中的验证链接。您需要这些凭证来安装 ROSA。
流程
登录到您要使用的 Amazon Web Services (AWS)帐户。
建议专用 AWS 帐户来运行生产环境集群。如果使用 AWS Organizations,您可以使用您所在机构的 AWS 帐户或创建一个新账户。
如果您使用 AWS 机构,且您需要有一个服务控制策略 (SCP) 应用于您计划使用的 AWS 帐户,请参阅 AWS 先决条件。
作为集群创建过程的一部分,
rosa
建立osdCcsAdmin
IAM 用户。此用户使用您在配置 AWS CLI 时提供的 IAM 凭证。注意此用户启用了
Programmatic
访问权限,并附加了AdministratorAccess
策略。在 AWS 控制台中启用 ROSA 服务。
安装和配置 AWS CLI。
按照 AWS 命令行界面文档为您的操作系统 安装和配置 AWS CLI。
在
.aws/credentials
文件中指定正确的aws_access_key_id
和aws_secret_access_key
。请参阅 AWS 文档中的 AWS 配置基础知识。设置默认 AWS 区域。
注意建议使用环境变量来设置默认的 AWS 区域。
ROSA 服务以以下优先级顺序评估区域:
-
使用
--region
标志运行rosa
命令时指定的区域。 -
AWS_DEFAULT_REGION
环境变量中设置的区域。请参阅 AWS 文档中的配置 AWS CLI 的环境变量。 - AWS 配置文件中设置的默认区域。请参阅 AWS 文档中的使用 aws 配置的快速配置。
-
使用
可选:使用名为 profile 的 AWS CLI 设置和凭证配置 AWS CLI 设置和凭证。
ROSA
按照以下优先级顺序评估 AWS 命名配置集:-
使用
--profile
标志运行rosa
命令时指定的配置集。 -
在
AWS_PROFILE
环境变量中设置的配置集。请参阅 AWS 文档中的 名称配置集。
-
使用
运行以下命令查询 AWS API 来验证 AWS CLI 是否已正确安装和配置:
$ aws sts get-caller-identity --output text
输出示例
<aws_account_id> arn:aws:iam::<aws_account_id>:user/<username> <aws_user_id>
完成这些步骤后,安装 ROSA。