Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
ROSAklassische Betreiberrichtlinien
Dieser Abschnitt enthält Einzelheiten zu den Betreiberrichtlinien, die für ROSA Classic erforderlich sind. Bevor Sie einen ROSA klassischen Cluster erstellen können, müssen Sie diese Richtlinien zunächst den entsprechenden Operatorrollen zuordnen. Für jeden Cluster ist ein eigener Satz von Operatorrollen erforderlich.
Diese Berechtigungen werden benötigt, damit die OpenShift Betreiber ROSA klassische Clusterknoten verwalten können. Sie können den Richtliniennamen ein benutzerdefiniertes Präfix zuweisen, um die Richtlinienverwaltung zu vereinfachen (z. B.ManagedOpenShift-openshift-ingress-operator-cloud-credentials).
[Präfix] openshift-ingress-operator-cloud — Anmeldeinformationen
Sie können sie [Prefix]-openshift-ingress-operator-cloud-credentials an Ihre IAM Entitäten anhängen. Diese Richtlinie gewährt dem Ingress-Operator die erforderlichen Berechtigungen zur Bereitstellung und Verwaltung von Load Balancers und DNS Konfigurationen für den externen Clusterzugriff. Die Richtlinie ermöglicht es dem Ingress-Operator auch, Route 53 Ressourcen-Tag-Werte zu lesen und zu filtern, um gehostete Zonen zu ermitteln. Weitere Informationen zum Operator finden Sie in der Dokumentation unter OpenShift Ingress-Operator
In diesem Richtliniendokument definierte Berechtigungen geben an, welche Aktionen zulässig oder verweigert werden.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "elasticloadbalancing:DescribeLoadBalancers", "route53:ListHostedZones", "route53:ListTagsForResources", "route53:ChangeResourceRecordSets", "tag:GetResources" ], "Effect": "Allow", "Resource": "*" } ] }
[Präfix] - openshift-cluster-csi-drivers - ebs-cloud-credentials
Sie können es [Prefix]-openshift-cluster-csi-drivers-ebs-cloud-credentials an Ihre IAM Entitäten anhängen. Diese Richtlinie gewährt dem Amazon EBS CSI Treiberoperator die erforderlichen Berechtigungen zur Installation und Wartung des Amazon EBS CSI Treibers auf einem ROSA klassischen Cluster. Weitere Informationen zum Operator finden Sie in der OpenShift GitHub Dokumentation unter aws-ebs-csi-driver-operator
In diesem Richtliniendokument definierte Berechtigungen geben an, welche Aktionen zulässig oder verweigert werden.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ec2:AttachVolume", "ec2:CreateSnapshot", "ec2:CreateTags", "ec2:CreateVolume", "ec2:DeleteSnapshot", "ec2:DeleteTags", "ec2:DeleteVolume", "ec2:DescribeAvailabilityZones", "ec2:DescribeInstances", "ec2:DescribeSnapshots", "ec2:DescribeTags", "ec2:DescribeVolumes", "ec2:DescribeVolumesModifications", "ec2:DetachVolume", "ec2:EnableFastSnapshotRestores", "ec2:ModifyVolume" ], "Effect": "Allow", "Resource": "*" } ] }
[Präfix] — openshift-machine-api-aws -cloud-credentials
Sie können es an Ihre IAM Entitäten [Prefix]-openshift-machine-api-aws-cloud-credentials anhängen. Diese Richtlinie gewährt dem Machine Config Operator die erforderlichen Berechtigungen, um Amazon EC2 Instanzen zu beschreiben, auszuführen und zu beenden, die als Worker-Knoten verwaltet werden. Diese Richtlinie gewährt auch Berechtigungen für die Festplattenverschlüsselung des Root-Volumes des Worker-Knotens mithilfe von AWS KMS keys. Weitere Informationen zum Operator finden Sie machine-config-operator
In diesem Richtliniendokument definierte Berechtigungen geben an, welche Aktionen zulässig oder verweigert werden.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ec2:CreateTags", "ec2:DescribeAvailabilityZones", "ec2:DescribeDhcpOptions", "ec2:DescribeImages", "ec2:DescribeInstances", "ec2:DescribeInternetGateways", "ec2:DescribeInstanceTypes", "ec2:DescribeSecurityGroups", "ec2:DescribeRegions", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:RunInstances", "ec2:TerminateInstances", "elasticloadbalancing:DescribeLoadBalancers", "elasticloadbalancing:DescribeTargetGroups", "elasticloadbalancing:DescribeTargetHealth", "elasticloadbalancing:RegisterInstancesWithLoadBalancer", "elasticloadbalancing:RegisterTargets", "elasticloadbalancing:DeregisterTargets", "iam:PassRole", "iam:CreateServiceLinkedRole" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlainText", "kms:DescribeKey" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "kms:RevokeGrant", "kms:CreateGrant", "kms:ListGrants" ], "Effect": "Allow", "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }
[Präfix] — openshift-cloud-credential-operator -cloud-credentials
Sie können es an Ihre IAM Entitäten [Prefix]-openshift-cloud-credential-operator-cloud-credentials anhängen. Diese Richtlinie gewährt dem Cloud Credential Operator die erforderlichen Berechtigungen zum Abrufen von IAM-Benutzer Details wie dem ZugriffsschlüsselIDs, angehängten Inline-Richtliniendokumenten, dem Erstellungsdatum, dem Pfad, der Benutzer-ID und dem Amazon-Ressourcennamen (ARN). Weitere Informationen zum Betreiber finden Sie cloud-credential-operator
In diesem Richtliniendokument definierte Berechtigungen geben an, welche Aktionen zulässig oder verweigert werden.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "iam:GetUser", "iam:GetUserPolicy", "iam:ListAccessKeys" ], "Effect": "Allow", "Resource": "*" } ] }
[Präfix] — openshift-image-registry-installer -cloud-credentials
Sie können es an Ihre IAM Entitäten [Prefix]-openshift-image-registry-installer-cloud-credentials anhängen. Diese Richtlinie gewährt dem Image-Registry-Betreiber die erforderlichen Berechtigungen zur Bereitstellung und Verwaltung von Ressourcen für die Cluster-interne Image-Registry und die abhängigen Dienste von ROSA Classic, einschließlich Amazon S3. Dies ist erforderlich, damit der Betreiber die interne Registrierung eines ROSA klassischen Clusters installieren und verwalten kann. Weitere Informationen zum Operator finden Sie in der OpenShift GitHub Dokumentation unter Image Registry Operator
In diesem Richtliniendokument definierte Berechtigungen geben an, welche Aktionen zulässig oder verweigert werden.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:CreateBucket", "s3:DeleteBucket", "s3:PutBucketTagging", "s3:GetBucketTagging", "s3:PutBucketPublicAccessBlock", "s3:GetBucketPublicAccessBlock", "s3:PutEncryptionConfiguration", "s3:GetEncryptionConfiguration", "s3:PutLifecycleConfiguration", "s3:GetLifecycleConfiguration", "s3:GetBucketLocation", "s3:ListBucket", "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:ListBucketMultipartUploads", "s3:AbortMultipartUpload", "s3:ListMultipartUploadParts" ], "Effect": "Allow", "Resource": "*" } ] }
[Präfix] - openshift-cloud-network-config - controller-cloud-cr
Sie können es [Prefix]-openshift-cloud-network-config-controller-cloud-cr an Ihre IAM Entitäten anhängen. Diese Richtlinie gewährt dem Cloud Network Config Controller Operator die erforderlichen Berechtigungen zur Bereitstellung und Verwaltung von Netzwerkressourcen für die Verwendung durch das ROSA klassische Cluster-Netzwerk-Overlay. Der Betreiber verwendet diese Berechtigungen, um private IP-Adressen für Amazon EC2 Instanzen als Teil des ROSA klassischen Clusters zu verwalten. Weitere Informationen zum Operator finden Sie loud-network-config-controller in der OpenShift GitHub Dokumentation unter C.
In diesem Richtliniendokument definierte Berechtigungen geben an, welche Aktionen zulässig oder verweigert werden.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ec2:DescribeInstances", "ec2:DescribeInstanceStatus", "ec2:DescribeInstanceTypes", "ec2:UnassignPrivateIpAddresses", "ec2:AssignPrivateIpAddresses", "ec2:UnassignIpv6Addresses", "ec2:AssignIpv6Addresses", "ec2:DescribeSubnets", "ec2:DescribeNetworkInterfaces" ], "Effect": "Allow", "Resource": "*" } ] }
