Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
POLITICHE OPERATIVE CLASSICHE DI ROSA
Questa sezione fornisce dettagli sulle politiche degli operatori necessarie per ROSA classic. Prima di poter creare un cluster ROSA classic, è necessario collegare queste politiche ai ruoli di operatore pertinenti. È richiesto un set unico di ruoli di operatore per ogni cluster.
Queste autorizzazioni sono necessarie per consentire agli OpenShift operatori di gestire i nodi del cluster ROSA classic. È possibile assegnare un prefisso personalizzato ai nomi delle politiche per semplificare la gestione delle politiche (ad esempio,). ManagedOpenShift-openshift-ingress-operator-cloud-credentials
[Prefisso] - -credenziali openshift-ingress-operator-cloud
È possibile collegare [Prefix]-openshift-ingress-operator-cloud-credentials alle entità IAM. Questa politica concede le autorizzazioni necessarie all'operatore di ingresso per fornire e gestire i sistemi di bilanciamento del carico e le configurazioni DNS per l'accesso al cluster esterno. La policy consente inoltre all'Ingress Operator di leggere e filtrare i valori dei tag delle risorse per scoprire le zone ospitate Route 53 . Per ulteriori informazioni sull'operatore, consulta OpenShift Ingress Operator
Le autorizzazioni definite in questo documento di policy specificano quali azioni sono consentite o negate.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "elasticloadbalancing:DescribeLoadBalancers", "route53:ListHostedZones", "route53:ListTagsForResources", "route53:ChangeResourceRecordSets", "tag:GetResources" ], "Effect": "Allow", "Resource": "*" } ] }
[Prefisso] - - openshift-cluster-csi-drivers ebs-cloud-credentials
È possibile collegare [Prefix]-openshift-cluster-csi-drivers-ebs-cloud-credentials alle entità IAM. Questa politica concede le autorizzazioni necessarie a Amazon EBS CSI Driver Operator per installare e gestire il driver Amazon EBS CSI su un cluster ROSA classic. Per ulteriori informazioni sull'operatore, vedere aws-ebs-csi-driver-operator
Le autorizzazioni definite in questo documento di policy specificano quali azioni sono consentite o negate.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ec2:AttachVolume", "ec2:CreateSnapshot", "ec2:CreateTags", "ec2:CreateVolume", "ec2:DeleteSnapshot", "ec2:DeleteTags", "ec2:DeleteVolume", "ec2:DescribeAvailabilityZones", "ec2:DescribeInstances", "ec2:DescribeSnapshots", "ec2:DescribeTags", "ec2:DescribeVolumes", "ec2:DescribeVolumesModifications", "ec2:DetachVolume", "ec2:EnableFastSnapshotRestores", "ec2:ModifyVolume" ], "Effect": "Allow", "Resource": "*" } ] }
[Prefisso] - -cloud-credentials openshift-machine-api-aws
È possibile collegare [Prefix]-openshift-machine-api-aws-cloud-credentials alle entità IAM. Questa politica concede le autorizzazioni necessarie all'operatore Machine Config per descrivere, eseguire e terminare le Amazon EC2 istanze gestite come nodi di lavoro. Questa politica concede inoltre le autorizzazioni per consentire la crittografia del disco del volume root del nodo di lavoro utilizzato. AWS KMS keys Per ulteriori informazioni sull'operatore, consulta la machine-config-operator
Le autorizzazioni definite in questo documento di policy specificano quali azioni sono consentite o negate.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ec2:CreateTags", "ec2:DescribeAvailabilityZones", "ec2:DescribeDhcpOptions", "ec2:DescribeImages", "ec2:DescribeInstances", "ec2:DescribeInternetGateways", "ec2:DescribeInstanceTypes", "ec2:DescribeSecurityGroups", "ec2:DescribeRegions", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:RunInstances", "ec2:TerminateInstances", "elasticloadbalancing:DescribeLoadBalancers", "elasticloadbalancing:DescribeTargetGroups", "elasticloadbalancing:DescribeTargetHealth", "elasticloadbalancing:RegisterInstancesWithLoadBalancer", "elasticloadbalancing:RegisterTargets", "elasticloadbalancing:DeregisterTargets", "iam:PassRole", "iam:CreateServiceLinkedRole" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlainText", "kms:DescribeKey" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "kms:RevokeGrant", "kms:CreateGrant", "kms:ListGrants" ], "Effect": "Allow", "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }
[Prefisso] - -cloud-credentials openshift-cloud-credential-operator
È possibile collegare [Prefix]-openshift-cloud-credential-operator-cloud-credentials alle entità IAM. Questa policy concede le autorizzazioni necessarie al Cloud Credential Operator per recuperare Utente IAM i dettagli, tra cui la chiave di accesso, i documenti di policy in linea allegati IDs, la data di creazione dell'utente, il percorso, l'ID utente e Amazon Resource Name (ARN). Per ulteriori informazioni sull'operatore, consulta la documentazione. cloud-credential-operator
Le autorizzazioni definite in questo documento di policy specificano quali azioni sono consentite o negate.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "iam:GetUser", "iam:GetUserPolicy", "iam:ListAccessKeys" ], "Effect": "Allow", "Resource": "*" } ] }
[Prefisso] - -cloud-credentials openshift-image-registry-installer
È possibile collegare [Prefix]-openshift-image-registry-installer-cloud-credentials alle entità IAM. Questa politica concede le autorizzazioni necessarie all'Image Registry Operator per fornire e gestire le risorse per il registro di immagini integrato nel cluster di ROSA classic e i servizi dipendenti, tra cui. Amazon S3 Ciò è necessario affinché l'operatore possa installare e gestire il registro interno di un cluster ROSA classic. Per ulteriori informazioni sull'operatore, vedere Image Registry Operator
Le autorizzazioni definite in questo documento di policy specificano quali azioni sono consentite o negate.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:CreateBucket", "s3:DeleteBucket", "s3:PutBucketTagging", "s3:GetBucketTagging", "s3:PutBucketPublicAccessBlock", "s3:GetBucketPublicAccessBlock", "s3:PutEncryptionConfiguration", "s3:GetEncryptionConfiguration", "s3:PutLifecycleConfiguration", "s3:GetLifecycleConfiguration", "s3:GetBucketLocation", "s3:ListBucket", "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:ListBucketMultipartUploads", "s3:AbortMultipartUpload", "s3:ListMultipartUploadParts" ], "Effect": "Allow", "Resource": "*" } ] }
[Prefisso] - - openshift-cloud-network-config controller-cloud-cr
È possibile collegare [Prefix]-openshift-cloud-network-config-controller-cloud-cr alle entità IAM. Questa politica concede le autorizzazioni necessarie all'operatore del controller di Cloud Network Config per fornire e gestire le risorse di rete da utilizzare con il classico overlay di rete per cluster ROSA. L'operatore utilizza queste autorizzazioni per gestire gli indirizzi IP privati per le Amazon EC2 istanze come parte del cluster ROSA classic. Per ulteriori informazioni sull'operatore, vedere C loud-network-config-controller
Le autorizzazioni definite in questo documento di policy specificano quali azioni sono consentite o negate.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ec2:DescribeInstances", "ec2:DescribeInstanceStatus", "ec2:DescribeInstanceTypes", "ec2:UnassignPrivateIpAddresses", "ec2:AssignPrivateIpAddresses", "ec2:UnassignIpv6Addresses", "ec2:AssignIpv6Addresses", "ec2:DescribeSubnets", "ec2:DescribeNetworkInterfaces" ], "Effect": "Allow", "Resource": "*" } ] }
