红帽全球峰会第 3 章 ROSA IAM 角色资源
您必须在 AWS 帐户上创建几个角色资源,才能创建和管理 Red Hat OpenShift Service on AWS (ROSA)集群。
3.1. 所需的角色概述
要在 AWS 集群上创建和管理 Red Hat OpenShift Service,您必须创建几个集群范围的角色和集群范围的角色。如果要使用 OpenShift Cluster Manager 创建和管理集群,则需要一些额外的角色。
- 创建和管理集群
创建和管理 ROSA 集群需要几个集群范围的角色。这些角色只需要为每个 AWS 帐户创建一次,不需要为每个集群创建新角色。您可以指定自己的前缀,或使用默认前缀(
ManagedOpenShift)。需要以下集群范围的角色:
-
<prefix>-Worker-Role -
<prefix>-Support-Role -
<prefix>-Installer-Role -
<prefix>-ControlPlane-Role
注意角色创建不会请求 AWS 访问或 secret 密钥。AWS 安全令牌服务(STS)用作此工作流的基础。AWS STS 使用临时的、有有限权限的凭证来提供身份验证。
-
- 管理 Operator 提供的集群功能
集群特定的 Operator 角色(ROSA CLI 中的 Operator
角色),获取为 Operator 提供的功能执行集群操作所需的临时权限,如管理后端存储、入口和 registry。这要求配置 OpenID Connect (OIDC)供应商,该供应商连接到 AWS 安全令牌服务(STS)以验证 Operator 对 AWS 资源的访问。每个集群都需要 Operator 角色,因为一些 Operator 默认用来提供集群功能。
需要以下 Operator 角色:
-
<cluster_name>-<hash>-openshift-cluster-csi-drivers-ebs-cloud-credentials -
<cluster_name>-<hash>-openshift-cloud-network-config-controller-credentials -
<cluster_name>-<hash>-openshift-machine-api-aws-cloud-credentials -
<cluster_name>-<hash>-openshift-cloud-credential-operator-cloud-credentials -
<cluster_name>-<hash>-openshift-image-registry-installer-cloud-credentials -
<cluster_name>-<hash>-openshift-ingress-operator-cloud-credentials
-
- 使用 OpenShift Cluster Manager
Web 用户界面 OpenShift Cluster Manager 要求您在 AWS 帐户和 OpenShift Cluster Manager 中创建附加角色。
此信任关系通过
ocm-roleAWS IAM 角色的创建和关联来实现。此角色有一个信任策略,AWS 安装程序将您的红帽帐户链接到 AWS 帐户。另外,您还需要为每个 Web UI 用户提供一个user-roleAWS IAM 角色,用于识别这些用户。这个user-roleAWS IAM 角色没有权限。使用 OpenShift Cluster Manager 需要以下 AWS IAM 角色:
-
ocm-role -
user-role
-
