红帽全球峰会第 3 章 所需的 IAM 角色和资源
您必须在 AWS 帐户上创建几个角色资源,才能创建和管理 Red Hat OpenShift Service on AWS 集群。
3.1. 所需的角色概述
要在 AWS 集群上创建和管理 Red Hat OpenShift Service,您必须创建几个集群范围的角色和集群范围的角色。如果要使用 OpenShift Cluster Manager 创建和管理集群,则需要一些额外的角色。
- 创建和管理集群
在 AWS 集群上创建和管理 Red Hat OpenShift Service 需要几个集群范围的角色。这些角色只需要为每个 AWS 帐户创建一次,不需要为每个集群创建新角色。每个角色会附加一个或多个 AWS 管理策略,为该角色授予所需的功能。您可以指定自己的前缀,或使用默认前缀(
ManagedOpenShift)。注意角色名称限制为 AWS IAM 中的最大长度为 64 个字符。当集群的用户指定的前缀超过 20 个字符时,角色名称会被截断,以便在 AWS IAM 中观察此 64 个字符的最大值。
对于 Red Hat OpenShift Service on AWS 集群,您必须创建以下集群范围的角色,并附加指定的 AWS 受管策略:
Expand 表 3.1. Red Hat OpenShift Service on AWS 所需的帐户角色和 AWS 策略 角色名称 AWS 策略名称 <prefix>-HCP-ROSA-Worker-RoleROSAWorkerInstancePolicy和AmazonEC2ContainerRegistryReadOnly<prefix>-HCP-ROSA-Support-RoleROSASRESupportPolicy<prefix>-HCP-ROSA-Installer-RoleROSAInstallerPolicy
角色创建不会请求 AWS 访问或 secret 密钥。AWS 安全令牌服务(STS)用作此工作流的基础。AWS STS 使用临时的、有有限权限的凭证来提供身份验证。
- 使用 Operator 管理的集群功能
有些集群功能(包括默认提供的一些功能)通过 Operator 进行管理。要使用这些功能,需要特定于集群的 Operator
角色(ROSA CLI 中的 operator角色)。这些角色用于获取执行集群操作所需的临时权限,如管理后端存储、入口和 registry。获取这些权限需要配置 OpenID Connect (OIDC)供应商,该供应商连接到 AWS 安全令牌服务(STS)以验证 Operator 对 AWS 资源的访问。对于 Red Hat OpenShift Service on AWS 集群,您必须创建以下 Operator 角色并附加指定的 AWS Managed 策略:
Expand 表 3.2. 使用 HCP 的 ROSA 所需的 Operator 角色和 AWS 管理策略 角色名称 AWS 管理的策略名称 openshift-cloud-network-config-controller-cROSACloudNetworkConfigOperatorPolicyopenshift-image-registry-installer-cloud-credentialsROSAImageRegistryOperatorPolicykube-system-kube-controller-managerROSAKubeControllerPolicykube-system-capa-controller-managerROSANodePoolManagementPolicykube-system-control-plane-operatorROSAControlPlaneOperatorPolicykube-system-kms-providerROSAKMSProviderPolicyopenshift-ingress-operator-cloud-credentialsROSAIngressOperatorPolicyopenshift-cluster-csi-drivers-ebs-cloud-credentialsROSAAmazonEBSCSIDriverOperatorPolicy使用
rosa create operator-role命令创建 Operator 角色时,创建的角色将使用 <cluster_name>-<hash>-<role_name> 格式命名,例如test-abc1-kube-system-control-plane-operator。当集群名称超过 15 个字符时,角色名称会被截断。- 使用 OpenShift Cluster Manager
Web 用户界面 OpenShift Cluster Manager 要求您在 AWS 帐户和 OpenShift Cluster Manager 中创建附加角色。
此信任关系通过
ocm-roleAWS IAM 角色的创建和关联来实现。此角色有一个信任策略,AWS 安装程序将您的红帽帐户链接到 AWS 帐户。另外,您还需要为每个 Web UI 用户提供一个user-roleAWS IAM 角色,用于识别这些用户。这个user-roleAWS IAM 角色没有权限。使用 OpenShift Cluster Manager 需要以下 AWS IAM 角色:
-
ocm-role -
user-role
-
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}