3.2. 关于 ocm-role IAM 资源

您必须创建 ocm-role IAM 资源，以便红帽用户机构在 AWS (ROSA)集群上创建 Red Hat OpenShift Service。在链接到 AWS 的上下文中，红帽机构是 OpenShift Cluster Manager 中的单个用户。

ocm-role IAM 资源的一些注意事项：

每个红帽机构只能链接一个 ocm-role IAM 角色，但每个 AWS 帐户可以有任意数量的 ocm-role IAM 角色。Web UI 要求一次只能链接其中一个角色。
红帽机构中的任何用户都可以创建并链接 ocm-role IAM 资源。
只有红帽机构管理员可以取消链接 ocm-role IAM 资源。这个限制是防止其他红帽机构成员干扰其他用户的接口功能。
注意
如果您只创建了不属于现有机构的红帽帐户，则此帐户也是红帽机构管理员。
有关基本和 admin ocm-role IAM 资源的 AWS 权限策略列表，请参阅本节的附加资源中的"识别 OpenShift Cluster Manager 角色"。

使用 ROSA CLI (rosa)，您可以在创建时链接 IAM 资源。

注意

"链接"或"与 AWS 帐户关联您的 IAM 资源"意味着使用 ocm-role IAM 角色和 Red Hat OpenShift Cluster Manager AWS 角色创建信任策略。创建并链接您的 IAM 资源后，您会看到 AWS 中的 ocm-role IAM 资源与 arn:aws:iam::7333:role/RH-Managed-OpenShift-Installer 资源之间的信任关系。

在 Red Hat Organization Administrator 创建并链接 ocm-role IAM 资源后，所有机构成员都可能希望创建并链接自己的 user-role IAM 角色。此 IAM 资源只需要为每个用户创建并只连接一次。如果红帽机构中的其他用户已创建并链接了 ocm-role IAM 资源，则需要确保已创建并链接您自己的 user-role IAM 角色。

其他资源

了解 OpenShift Cluster Manager 角色

3.2.1. 创建 ocm-role IAM 角色

您可以使用命令行界面(CLI)创建 ocm-role IAM 角色。

前提条件

您有一个 AWS 帐户。
在 OpenShift Cluster Manager 机构中具有 Red Hat Organization Administrator 权限。
您有安装 AWS 范围的角色所需的权限。
您已在安装主机上安装并配置了最新的 Red Hat OpenShift Service on AWS (ROSA) CLI ( rosa )。

流程

要使用基本权限创建 ocm-role IAM 角色，请运行以下命令：
```
rosa create ocm-role
```
```
$ rosa create ocm-role
```
Copy to Clipboard
要使用 admin 权限创建 ocm-role IAM 角色，请运行以下命令：
```
rosa create ocm-role --admin
```
```
$ rosa create ocm-role --admin
```
Copy to Clipboard
此命令允许您通过指定特定属性来创建角色。以下示例输出显示选择了"自动模式"，它允许 ROSA CLI (rosa)创建 Operator 角色和策略。如需更多信息，请参阅"集群范围的角色创建"。

输出示例

I: Creating ocm role
? Role prefix: ManagedOpenShift 
? Enable admin capabilities for the OCM role (optional): No 
? Permissions boundary ARN (optional): 
? Role Path (optional): 
? Role creation mode: auto 
I: Creating role using 'arn:aws:iam::<ARN>:user/<UserName>'
? Create the 'ManagedOpenShift-OCM-Role-182' role? Yes 
I: Created role 'ManagedOpenShift-OCM-Role-182' with ARN  'arn:aws:iam::<ARN>:role/ManagedOpenShift-OCM-Role-182'
I: Linking OCM role
? OCM Role ARN: arn:aws:iam::<ARN>:role/ManagedOpenShift-OCM-Role-182 
? Link the 'arn:aws:iam::<ARN>:role/ManagedOpenShift-OCM-Role-182' role with organization '<AWS ARN>'? Yes 
I: Successfully linked role-arn 'arn:aws:iam::<ARN>:role/ManagedOpenShift-OCM-Role-182' with organization account '<AWS ARN>'

I: Creating ocm role
? Role prefix: ManagedOpenShift


? Enable admin capabilities for the OCM role (optional): No


? Permissions boundary ARN (optional):


? Role Path (optional):


? Role creation mode: auto


I: Creating role using 'arn:aws:iam::<ARN>:user/<UserName>'
? Create the 'ManagedOpenShift-OCM-Role-182' role? Yes


I: Created role 'ManagedOpenShift-OCM-Role-182' with ARN  'arn:aws:iam::<ARN>:role/ManagedOpenShift-OCM-Role-182'
I: Linking OCM role
? OCM Role ARN: arn:aws:iam::<ARN>:role/ManagedOpenShift-OCM-Role-182


? Link the 'arn:aws:iam::<ARN>:role/ManagedOpenShift-OCM-Role-182' role with organization '<AWS ARN>'? Yes


I: Successfully linked role-arn 'arn:aws:iam::<ARN>:role/ManagedOpenShift-OCM-Role-182' with organization account '<AWS ARN>'

Copy to Clipboard

1: 所有创建的 AWS 资源的前缀值。在本例中，ManagedOpenShift 会预先填充所有 AWS 资源。
2: 如果您希望此角色具有额外的 admin 权限，请选择。
注意
如果使用 --admin 选项，则不会显示此提示。
3: 用于设置权限边界的策略的 Amazon 资源名称 (ARN)。
4: 指定用户名的 IAM 路径。
5: 选择创建 AWS 角色的方法。使用 auto 时，ROSA CLI 生成并链接角色和策略。在 auto 模式中，您收到一些不同的提示来创建 AWS 角色。
6: auto 方法询问您是否要使用您的前缀创建特定的 ocm-role。
7: 确认您要将 IAM 角色与 OpenShift Cluster Manager 关联。
8: 将创建的角色与 AWS 组织相关联。

返回顶部

3.2. 关于 ocm-role IAM 资源

其他资源

3.2.1. 创建 ocm-role IAM 角色

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links