ROSA contoh kebijakan berbasis identitas - Layanan OpenShift Red Hat di AWS
Menggunakan ROSA konsolOtorisasi ROSA dengan HCP untuk mengelola sumber daya AWSMengotorisasi ROSA classic untuk mengelola sumber daya AWSMengizinkan pengguna melihat izin mereka sendiri

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

ROSA contoh kebijakan berbasis identitas

Secara default, Pengguna IAM dan peran tidak memiliki izin untuk membuat atau memodifikasi AWS sumber daya. Mereka juga tidak dapat melakukan tugas menggunakan AWS Management Console, AWS CLI, atau AWS API. IAM Administrator harus membuat IAM kebijakan yang memberikan izin kepada pengguna dan peran untuk melakukan operasi API tertentu pada sumber daya tertentu yang mereka butuhkan. Administrator kemudian harus melampirkan kebijakan tersebut ke grup Pengguna IAM atau yang memerlukan izin tersebut.

Untuk mempelajari cara membuat kebijakan IAM berbasis identitas menggunakan contoh dokumen kebijakan JSON ini, lihat Membuat kebijakan pada tab JSON di Panduan Pengguna IAM.

Menggunakan ROSA konsol

Untuk berlangganan ROSA dari konsol, kepala sekolah IAM Anda harus memiliki AWS Marketplace izin yang diperlukan. Izin memungkinkan kepala sekolah untuk berlangganan dan berhenti berlangganan daftar ROSA produk AWS Marketplace dan melihat AWS Marketplace langganan. Untuk menambahkan izin yang diperlukan, buka ROSA konsol dan lampirkan kebijakan AWS terkelola ROSAManageSubscription ke kepala IAM Anda. Untuk informasi selengkapnya tentang ROSAManageSubscription, lihat AWS kebijakan terkelola: ROSAManage Berlangganan.

Otorisasi ROSA dengan HCP untuk mengelola sumber daya AWS

ROSA dengan pesawat kontrol yang dihosting (HCP) menggunakan kebijakan AWS terkelola dengan izin yang diperlukan untuk operasi dan dukungan layanan. Anda menggunakan ROSA CLI atau IAM konsol untuk melampirkan kebijakan ini ke peran layanan di Anda. Akun AWS

Untuk informasi selengkapnya, lihat AWS kebijakan terkelola untuk ROSA.

Mengotorisasi ROSA classic untuk mengelola sumber daya AWS

ROSA classic menggunakan kebijakan IAM yang dikelola pelanggan dengan izin yang telah ditentukan sebelumnya oleh layanan. Anda menggunakan ROSA CLI untuk membuat kebijakan ini dan melampirkannya ke peran layanan di Anda. Akun AWS ROSA mensyaratkan bahwa kebijakan ini dikonfigurasi sebagaimana didefinisikan oleh layanan untuk memastikan operasi berkelanjutan dan dukungan layanan.

catatan

Anda tidak boleh mengubah kebijakan klasik ROSA tanpa terlebih dahulu berkonsultasi dengan Red Hat. Melakukan hal itu dapat membatalkan perjanjian tingkat layanan uptime klaster Red Hat 99,95%. ROSA dengan pesawat kontrol yang di-host menggunakan kebijakan AWS terkelola dengan serangkaian izin yang lebih terbatas. Untuk informasi selengkapnya, lihat AWS kebijakan terkelola untuk ROSA.

Ada dua jenis kebijakan yang dikelola pelanggan untuk ROSA: kebijakan akun dan kebijakan operator. Kebijakan akun dilampirkan pada IAM peran yang digunakan layanan untuk membangun hubungan kepercayaan dengan Red Hat untuk dukungan insinyur keandalan situs (SRE), pembuatan klaster, dan fungsionalitas komputasi. Kebijakan operator dilampirkan ke IAM peran yang digunakan OpenShift operator untuk operasi klaster yang terkait dengan ingress, storage, image registry, dan node management. Kebijakan akun dibuat satu kali per Akun AWS, sedangkan kebijakan operator dibuat satu kali per klaster.

Untuk informasi selengkapnya, silakan lihat Kebijakan akun ROSA classic dan Kebijakan operator ROSA classic.

Mengizinkan pengguna melihat izin mereka sendiri

Contoh ini menunjukkan cara Anda membuat kebijakan yang memungkinkan Pengguna IAM untuk melihat kebijakan sebaris dan terkelola yang dilampirkan pada identitas pengguna mereka. Kebijakan ini mencakup izin untuk menyelesaikan tindakan ini di konsol atau secara terprogram menggunakan. AWS CLI

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}