3.2. 关于 user-role IAM 角色
您需要为每个 Web UI 用户创建一个用户角色
IAM 角色,以便这些用户能够创建 ROSA 集群。
您的 user-role
IAM 角色的一些注意事项:
-
每个红帽用户帐户您只需要一个
user-role
IAM 角色,但您的红帽机构可以有许多这些 IAM 资源。 -
红帽机构中的任何用户都可以创建并链接
user-role
IAM 角色。 -
每个红帽机构的每个 AWS 帐户可以有多个
user-role
IAM 角色。 -
红帽使用
user-role
IAM 角色来识别用户。此 IAM 资源没有 AWS 帐户权限。 -
您的 AWS 帐户可以有多个
user-role
IAM 角色,但您必须将每个 IAM 角色链接到红帽机构中每个用户。用户不能有多个链接的user-role
IAM 角色。
"链接"或"与 AWS 帐户关联您的 IAM 资源"意味着,使用 user-role
IAM 角色和 Red Hat OpenShift Cluster Manager AWS 角色创建信任策略。创建并连接此 IAM 资源后,您会看到 AWS 中的 user-role
IAM 角色与 arn:aws:iam::710019948333:role/RH-Managed-OpenShift-Installer
资源之间的信任关系。
3.2.1. 创建 user-role IAM 角色
您可以使用命令行界面(CLI)创建 user-role
IAM 角色。
前提条件
- 您有一个 AWS 帐户。
-
您已在安装主机上安装并配置了最新的 Red Hat OpenShift Service on AWS (ROSA) CLI (
rosa
)。
流程
要使用基本权限创建
user-role
IAM 角色,请运行以下命令:$ rosa create user-role
此命令允许您通过指定特定属性来创建角色。以下示例输出显示选择了"自动模式",它允许 ROSA CLI (
rosa
)创建 Operator 角色和策略。如需更多信息,请参阅附加资源中的"了解自动和手动部署模式"。
输出示例
I: Creating User role ? Role prefix: ManagedOpenShift 1 ? Permissions boundary ARN (optional): 2 ? Role Path (optional): 3 ? Role creation mode: auto 4 I: Creating ocm user role using 'arn:aws:iam::2066:user' ? Create the 'ManagedOpenShift-User.osdocs-Role' role? Yes 5 I: Created role 'ManagedOpenShift-User.osdocs-Role' with ARN 'arn:aws:iam::2066:role/ManagedOpenShift-User.osdocs-Role' I: Linking User role ? User Role ARN: arn:aws:iam::2066:role/ManagedOpenShift-User.osdocs-Role ? Link the 'arn:aws:iam::2066:role/ManagedOpenShift-User.osdocs-Role' role with account '1AGE'? Yes 6 I: Successfully linked role ARN 'arn:aws:iam::2066:role/ManagedOpenShift-User.osdocs-Role' with account '1AGE'
如果您在删除集群前取消链接或删除 user-role
IAM 角色,则会阻止您删除集群。您必须创建或修改此角色才能继续删除过程。如需更多信息 ,请参阅修复无法删除的集群。