第 3 章 使用 HCP 的 AWS STS 和 ROSA 解释
带有托管 control plane (HCP)的 Red Hat OpenShift Service on AWS (ROSA)使用 AWS (Amazon Web Services)安全令牌服务(STS)用于 AWS Identity Access Management (IAM)获取必要的凭证,以便与 AWS 帐户中的资源交互。
3.1. AWS STS 凭证方法
作为使用 HCP 的 ROSA 的一部分,红帽必须被授予在 AWS 帐户中管理基础架构资源所需的权限。使用 HCP 的 ROSA 授予集群自动化软件有限、对 AWS 帐户中资源的短期访问权限。
STS 方法使用预定义的角色和策略为 IAM 角色授予临时的、具有最低权限的权限。在请求后,凭据通常会在一小时后过期。过期后,AWS 不再识别它们,不再从 API 请求访问它们。如需更多信息,请参阅 AWS 文档。
必须为使用 HCP 集群的每个 ROSA 创建 AWS IAM STS 角色。ROSA 命令行界面(CLI) (rosa
)管理 STS 角色,并帮助您为每个角色附加 ROSA 特定 AWS 管理的策略。CLI 提供了用于创建角色、附加 AWS 管理的策略的命令和文件,以及允许 CLI 自动创建角色并附加策略的选项。