ROSA Beispiele für identitätsbasierte Richtlinien - Red Hat OpenShift Service in AWS

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

ROSA Beispiele für identitätsbasierte Richtlinien

Standardmäßig sind Rollen nicht berechtigt, IAM-Benutzer Ressourcen zu erstellen oder zu ändern AWS . Sie können auch keine Aufgaben mit dem AWS Management Console AWS CLI, oder ausführen AWS API. Ein IAM Administrator muss IAM Richtlinien erstellen, die Benutzern und Rollen die Berechtigung gewähren, bestimmte API Operationen mit den angegebenen Ressourcen auszuführen, die sie benötigen. Der Administrator muss diese Richtlinien dann den Gruppen IAM-Benutzer oder Gruppen zuordnen, für die diese Berechtigungen erforderlich sind.

Informationen zum Erstellen einer IAM identitätsbasierten Richtlinie anhand dieser JSON Beispieldokumente finden Sie unter Richtlinien erstellen auf der JSON Registerkarte im IAMBenutzerhandbuch.

Verwenden der Konsole ROSA

Um ROSA von der Konsole aus abonnieren zu können, muss Ihr IAM Principal über die erforderlichen AWS Marketplace Berechtigungen verfügen. Die Berechtigungen ermöglichen es dem Prinzipal, die ROSA Produktliste in Abonnements zu abonnieren und abzubestellen AWS Marketplace und AWS Marketplace Abonnements anzusehen. Um die erforderlichen Berechtigungen hinzuzufügen, rufen Sie die ROSA Konsole auf und hängen Sie die AWS verwaltete Richtlinie ROSAManageSubscription an Ihren IAM Prinzipal an. Mehr über ROSAManageSubscription erfahren Sie unter AWS verwaltete Richtlinie: ROSAManageSubscription.

Autorisierung ROSA HCP zur Verwaltung von Ressourcen AWS

ROSAmit gehosteten Steuerungsebenen (HCP) verwendet AWS verwaltete Richtlinien mit Berechtigungen, die für den Betrieb und Support von Diensten erforderlich sind. Sie verwenden die ROSA CLI IAM OR-Konsole, um diese Richtlinien den Servicerollen in Ihrem zuzuordnen AWS-Konto.

Weitere Informationen finden Sie unter AWS verwaltete Richtlinien für ROSA.

Autorisieren Sie ROSA Classic zur Verwaltung von Ressourcen AWS

ROSAClassic verwendet vom Kunden verwaltete IAM Richtlinien mit vom Service vordefinierten Berechtigungen. Sie verwenden die ROSA CLI, um diese Richtlinien zu erstellen und sie den Servicerollen in Ihrem AWS-Konto zuzuordnen. ROSA erfordert, dass diese Richtlinien so konfiguriert sind, wie sie vom Service definiert wurden, um einen kontinuierlichen Betrieb und Servicesupport zu gewährleisten.

Anmerkung

Sie sollten ROSA klassische Richtlinien nicht ändern, ohne vorher Red Hat konsultiert zu haben. Andernfalls kann das Service-Level-Agreement von Red Hat für eine Verfügbarkeit von 99,95% für Cluster unwirksam werden. ROSAbei gehosteten Steuerungsebenen AWS werden verwaltete Richtlinien mit eingeschränkteren Berechtigungen verwendet. Weitere Informationen finden Sie unter AWS verwaltete Richtlinien für ROSA.

Es gibt zwei Arten von vom Kunden verwalteten Richtlinien für ROSA: Kontorichtlinien und Betreiberrichtlinien. Kontorichtlinien sind IAM Rollen zugeordnet, die der Service verwendet, um eine Vertrauensbeziehung mit Red Hat für den Support durch einen Site Reliability Engineer (SRE), die Cluster-Erstellung und die Rechenfunktionen aufzubauen. Operator-Richtlinien sind IAM Rollen zugeordnet, die OpenShift Operatoren für Cluster-Operationen in den Bereichen Ingress, Speicherung, Image-Registrierung und Knotenmanagement verwenden. Kontorichtlinien werden einmal pro Cluster erstellt AWS-Konto, wohingegen Betreiberrichtlinien einmal pro Cluster erstellt werden.

Weitere Informationen erhalten Sie unter ROSAklassische Kontorichtlinien und ROSAklassische Betreiberrichtlinien.

Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer

Dieses Beispiel zeigt, wie Sie eine Richtlinie erstellen könnten, die es ermöglicht, IAM-Benutzer die internen und verwalteten Richtlinien anzuzeigen, die mit ihrer Benutzeridentität verknüpft sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe von. AWS CLI

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}