Utilisation de la ROSA console Autoriser ROSA avec HCP pour gérer les ressources AWS Autoriser ROSA Classic à gérer les ressources AWS Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations

ROSA exemples de politiques basées sur l'identité

Par défaut, Utilisateurs IAM les rôles ne sont pas autorisés à créer ou à modifier AWS des ressources. Ils ne peuvent pas non plus effectuer de tâches à l'aide du AWS Management Console AWS CLI, ou AWS API. Un IAM administrateur doit créer des IAM politiques qui accordent aux utilisateurs et aux rôles l'autorisation d'effectuer des API opérations spécifiques sur les ressources spécifiques dont ils ont besoin. L'administrateur doit ensuite associer ces politiques au Utilisateurs IAM ou aux groupes qui nécessitent ces autorisations.

Pour savoir comment créer une politique IAM basée sur l'identité à l'aide de ces exemples de documents de JSON stratégie, voir Création de politiques dans l'JSONonglet du Guide de l'IAMutilisateur.

Utilisation de la ROSA console

Pour s'abonner ROSA depuis la console, votre IAM principal doit disposer des AWS Marketplace autorisations requises. Les autorisations permettent au principal de s'abonner et de se désabonner de la liste des ROSA produits AWS Marketplace et de consulter AWS Marketplace les abonnements. Pour ajouter les autorisations requises, accédez à la ROSA console et associez la politique AWS gérée ROSAManageSubscription à votre IAM principal. Pour plus d'informations sur ROSAManageSubscription, consultez AWS politique gérée : ROSAManageSubscription.

Autoriser ROSA avec HCP pour gérer les ressources AWS

ROSAwith hosted control planes (HCP) utilise des politiques AWS gérées avec des autorisations requises pour le fonctionnement et le support du service. Vous utilisez la IAM console ROSA CLI or pour associer ces politiques aux rôles de service de votre Compte AWS.

Pour de plus amples informations, veuillez consulter AWS politiques gérées pour ROSA.

Autoriser ROSA Classic à gérer les ressources AWS

ROSAclassic utilise des IAM politiques gérées par le client avec des autorisations prédéfinies par le service. Vous les utilisez ROSA CLI pour créer ces politiques et les associer à des rôles de service dans votre Compte AWS. ROSA exige que ces politiques soient configurées comme définies par le service afin de garantir un fonctionnement et un support de service continus.

Note

Vous ne devez pas modifier les politiques ROSA classiques sans d'abord consulter Red Hat. Cela pourrait annuler le contrat de niveau de service de 99,95 % de disponibilité du cluster conclu par Red Hat. ROSAavec des plans de contrôle hébergés utilise des politiques AWS gérées avec un ensemble d'autorisations plus limité. Pour de plus amples informations, veuillez consulter AWS politiques gérées pour ROSA.

Il existe deux types de politiques gérées par le client pour ROSA : les politiques de compte et les politiques d'opérateur. Les politiques de compte sont associées aux IAM rôles que le service utilise pour établir une relation de confiance avec Red Hat pour l'assistance d'un ingénieur en fiabilité du site (SRE), la création de clusters et les fonctionnalités de calcul. Les politiques d'opérateur sont associées aux IAM rôles que OpenShift les opérateurs utilisent pour les opérations de cluster liées à l'entrée, au stockage, au registre d'images et à la gestion des nœuds. Les politiques de compte sont créées une fois par cluster Compte AWS, tandis que les politiques d'opérateur sont créées une fois par cluster.

Pour plus d’informations, consultez ROSApolitiques de compte classiques et ROSApolitiques classiques pour les opérateurs.

Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations

Cet exemple montre comment vous pouvez créer une politique qui Utilisateurs IAM permet de visualiser les politiques intégrées et gérées associées à leur identité d'utilisateur. Cette politique inclut les autorisations permettant d'effectuer cette action sur la console ou par programmation à l'aide du. AWS CLI

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Gestion des identités et des accès

ROSApolitiques de compte classiques