Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
ROSApolitiques classiques pour les opérateurs
Cette section fournit des détails sur les politiques d'opérateur requises pour la ROSA version classique. Avant de créer un cluster ROSA classique, vous devez d'abord associer ces politiques aux rôles d'opérateur concernés. Un ensemble unique de rôles d'opérateur est requis pour chaque cluster.
Ces autorisations sont nécessaires pour permettre aux OpenShift opérateurs de gérer les nœuds de cluster ROSA classiques. Vous pouvez attribuer un préfixe personnalisé aux noms des politiques pour simplifier la gestion des politiques (par exemple,ManagedOpenShift-openshift-ingress-operator-cloud-credentials).
[Préfixe] - -credentials openshift-ingress-operator-cloud
Vous pouvez les joindre [Prefix]-openshift-ingress-operator-cloud-credentials à vos IAM entités. Cette politique accorde les autorisations requises à l'opérateur d'entrée pour provisionner et gérer les équilibreurs de charge et les DNS configurations pour l'accès au cluster externe. La politique permet également à l'opérateur d'entrée de lire et de filtrer Route 53 valeurs des balises de ressources pour découvrir les zones hébergées. Pour plus d'informations sur l'opérateur, voir OpenShift Ingress Operator
Les autorisations définies dans ce document de politique précisent quelles actions sont autorisées ou refusées.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "elasticloadbalancing:DescribeLoadBalancers", "route53:ListHostedZones", "route53:ListTagsForResources", "route53:ChangeResourceRecordSets", "tag:GetResources" ], "Effect": "Allow", "Resource": "*" } ] }
[Préfixe] - - openshift-cluster-csi-drivers ebs-cloud-credentials
Vous pouvez les joindre [Prefix]-openshift-cluster-csi-drivers-ebs-cloud-credentials à vos IAM entités. Cette politique accorde les autorisations requises à Amazon EBS CSIChauffeur-opérateur chargé de l'installation et de la maintenance du Amazon EBS CSIpilote sur un cluster ROSA classique. Pour plus d'informations sur l'opérateur, consultez aws-ebs-csi-driver-operator
Les autorisations définies dans ce document de politique précisent quelles actions sont autorisées ou refusées.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ec2:AttachVolume", "ec2:CreateSnapshot", "ec2:CreateTags", "ec2:CreateVolume", "ec2:DeleteSnapshot", "ec2:DeleteTags", "ec2:DeleteVolume", "ec2:DescribeAvailabilityZones", "ec2:DescribeInstances", "ec2:DescribeSnapshots", "ec2:DescribeTags", "ec2:DescribeVolumes", "ec2:DescribeVolumesModifications", "ec2:DetachVolume", "ec2:EnableFastSnapshotRestores", "ec2:ModifyVolume" ], "Effect": "Allow", "Resource": "*" } ] }
[Préfixe] - -cloud-credentials openshift-machine-api-aws
Vous pouvez les joindre [Prefix]-openshift-machine-api-aws-cloud-credentials à vos IAM entités. Cette politique accorde les autorisations requises à l'opérateur de configuration de la machine pour décrire, exécuter et arrêter Amazon EC2 instances gérées en tant que nœuds de travail. Cette politique accorde également des autorisations permettant le chiffrement du disque du volume racine du nœud de travail à l'aide de AWS KMS keys. Pour plus d'informations sur l'opérateur, consultez machine-config-operator
Les autorisations définies dans ce document de politique précisent quelles actions sont autorisées ou refusées.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ec2:CreateTags", "ec2:DescribeAvailabilityZones", "ec2:DescribeDhcpOptions", "ec2:DescribeImages", "ec2:DescribeInstances", "ec2:DescribeInternetGateways", "ec2:DescribeInstanceTypes", "ec2:DescribeSecurityGroups", "ec2:DescribeRegions", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:RunInstances", "ec2:TerminateInstances", "elasticloadbalancing:DescribeLoadBalancers", "elasticloadbalancing:DescribeTargetGroups", "elasticloadbalancing:DescribeTargetHealth", "elasticloadbalancing:RegisterInstancesWithLoadBalancer", "elasticloadbalancing:RegisterTargets", "elasticloadbalancing:DeregisterTargets", "iam:PassRole", "iam:CreateServiceLinkedRole" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlainText", "kms:DescribeKey" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "kms:RevokeGrant", "kms:CreateGrant", "kms:ListGrants" ], "Effect": "Allow", "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }
[Préfixe] - -cloud-credentials openshift-cloud-credential-operator
Vous pouvez les joindre [Prefix]-openshift-cloud-credential-operator-cloud-credentials à vos IAM entités. Cette politique accorde les autorisations requises à l'opérateur d'identification du cloud pour récupérer Utilisateur IAM détails, y compris la clé d'accèsIDs, les documents de politique intégrés joints, la date de création de l'utilisateur, le chemin, l'ID utilisateur et le nom de la ressource Amazon (ARN). Pour plus d'informations sur l'opérateur, consultez cloud-credential-operator
Les autorisations définies dans ce document de politique précisent quelles actions sont autorisées ou refusées.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "iam:GetUser", "iam:GetUserPolicy", "iam:ListAccessKeys" ], "Effect": "Allow", "Resource": "*" } ] }
[Préfixe] - -cloud-credentials openshift-image-registry-installer
Vous pouvez les joindre [Prefix]-openshift-image-registry-installer-cloud-credentials à vos IAM entités. Cette politique accorde les autorisations requises à l'opérateur de registre d'images pour fournir et gérer les ressources pour le registre d'images intégré au cluster de ROSA Classic et les services dépendants, notamment Amazon S3. Cela est nécessaire pour que l'opérateur puisse installer et gérer le registre interne d'un cluster ROSA classique. Pour plus d'informations sur l'opérateur, consultez la section Opérateur de registre d'images
Les autorisations définies dans ce document de politique précisent quelles actions sont autorisées ou refusées.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:CreateBucket", "s3:DeleteBucket", "s3:PutBucketTagging", "s3:GetBucketTagging", "s3:PutBucketPublicAccessBlock", "s3:GetBucketPublicAccessBlock", "s3:PutEncryptionConfiguration", "s3:GetEncryptionConfiguration", "s3:PutLifecycleConfiguration", "s3:GetLifecycleConfiguration", "s3:GetBucketLocation", "s3:ListBucket", "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:ListBucketMultipartUploads", "s3:AbortMultipartUpload", "s3:ListMultipartUploadParts" ], "Effect": "Allow", "Resource": "*" } ] }
[Préfixe] - - openshift-cloud-network-config controller-cloud-cr
Vous pouvez les joindre [Prefix]-openshift-cloud-network-config-controller-cloud-cr à vos IAM entités. Cette politique accorde les autorisations requises à l'opérateur Cloud Network Config Controller pour provisionner et gérer les ressources réseau destinées à être utilisées par la superposition réseau de clusters ROSA classique. L'opérateur utilise ces autorisations pour gérer les adresses IP privées pour Amazon EC2 instances dans le cadre du cluster ROSA classique. Pour plus d'informations sur l'opérateur, voir C loud-network-config-controller
Les autorisations définies dans ce document de politique précisent quelles actions sont autorisées ou refusées.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ec2:DescribeInstances", "ec2:DescribeInstanceStatus", "ec2:DescribeInstanceTypes", "ec2:UnassignPrivateIpAddresses", "ec2:AssignPrivateIpAddresses", "ec2:UnassignIpv6Addresses", "ec2:AssignIpv6Addresses", "ec2:DescribeSubnets", "ec2:DescribeNetworkInterfaces" ], "Effect": "Allow", "Resource": "*" } ] }
