Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
ROSApolitiche classiche degli operatori
Questa sezione fornisce dettagli sulle politiche degli operatori necessarie per la ROSA versione classica. Prima di poter creare un cluster ROSA classico, è necessario collegare queste politiche ai ruoli di operatore pertinenti. È richiesto un set unico di ruoli di operatore per ogni cluster.
Queste autorizzazioni sono necessarie per consentire agli OpenShift operatori di gestire i ROSA classici nodi del cluster. È possibile assegnare un prefisso personalizzato ai nomi delle politiche per semplificare la gestione delle politiche (ad esempio,). ManagedOpenShift-openshift-ingress-operator-cloud-credentials
[Prefisso] - -credenziali openshift-ingress-operator-cloud
Puoi collegarti alle tue entità[Prefix]-openshift-ingress-operator-cloud-credentials
. IAM Questa politica concede le autorizzazioni necessarie all'Ingress Operator per fornire e gestire i sistemi di bilanciamento del carico e le DNS configurazioni per l'accesso al cluster esterno. La policy consente inoltre all'Ingress Operator di leggere e filtrare Route 53 valori dei tag di risorsa per scoprire le zone ospitate. Per ulteriori informazioni sull'operatore, consulta OpenShift Ingress Operator
Le autorizzazioni definite in questo documento di policy specificano quali azioni sono consentite o negate.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "elasticloadbalancing:DescribeLoadBalancers", "route53:ListHostedZones", "route53:ListTagsForResources", "route53:ChangeResourceRecordSets", "tag:GetResources" ], "Effect": "Allow", "Resource": "*" } ] }
[Prefisso] - - openshift-cluster-csi-drivers ebs-cloud-credentials
Puoi collegarti [Prefix]-openshift-cluster-csi-drivers-ebs-cloud-credentials
alle tue IAM entità. Questa politica concede le autorizzazioni necessarie a Amazon EBS CSIDriver Operator per l'installazione e la manutenzione di Amazon EBS CSIdriver su un cluster ROSA classico. Per ulteriori informazioni sull'operatore, vedere aws-ebs-csi-driver-operator
Le autorizzazioni definite in questo documento di policy specificano quali azioni sono consentite o negate.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ec2:AttachVolume", "ec2:CreateSnapshot", "ec2:CreateTags", "ec2:CreateVolume", "ec2:DeleteSnapshot", "ec2:DeleteTags", "ec2:DeleteVolume", "ec2:DescribeAvailabilityZones", "ec2:DescribeInstances", "ec2:DescribeSnapshots", "ec2:DescribeTags", "ec2:DescribeVolumes", "ec2:DescribeVolumesModifications", "ec2:DetachVolume", "ec2:EnableFastSnapshotRestores", "ec2:ModifyVolume" ], "Effect": "Allow", "Resource": "*" } ] }
[Prefisso] - -cloud-credentials openshift-machine-api-aws
Puoi collegarti alle tue entità. [Prefix]-openshift-machine-api-aws-cloud-credentials
IAM Questa politica concede le autorizzazioni necessarie all'operatore Machine Config per descrivere, eseguire e terminare Amazon EC2 istanze gestite come nodi di lavoro. Questa politica concede inoltre le autorizzazioni per consentire la crittografia del disco del volume radice del nodo di lavoro utilizzando AWS KMS keys. Per ulteriori informazioni sull'operatore, machine-config-operator
Le autorizzazioni definite in questo documento di policy specificano quali azioni sono consentite o negate.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ec2:CreateTags", "ec2:DescribeAvailabilityZones", "ec2:DescribeDhcpOptions", "ec2:DescribeImages", "ec2:DescribeInstances", "ec2:DescribeInternetGateways", "ec2:DescribeInstanceTypes", "ec2:DescribeSecurityGroups", "ec2:DescribeRegions", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:RunInstances", "ec2:TerminateInstances", "elasticloadbalancing:DescribeLoadBalancers", "elasticloadbalancing:DescribeTargetGroups", "elasticloadbalancing:DescribeTargetHealth", "elasticloadbalancing:RegisterInstancesWithLoadBalancer", "elasticloadbalancing:RegisterTargets", "elasticloadbalancing:DeregisterTargets", "iam:PassRole", "iam:CreateServiceLinkedRole" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlainText", "kms:DescribeKey" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "kms:RevokeGrant", "kms:CreateGrant", "kms:ListGrants" ], "Effect": "Allow", "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }
[Prefisso] - -cloud-credentials openshift-cloud-credential-operator
Puoi collegarti alle tue entità. [Prefix]-openshift-cloud-credential-operator-cloud-credentials
IAM Questa policy concede le autorizzazioni necessarie al Cloud Credential Operator per il recupero Utente IAM dettagli, tra cui chiave di accessoIDs, documenti di policy in linea allegati, data di creazione dell'utente, percorso, ID utente e Amazon Resource Name (ARN). Per ulteriori informazioni sull'operatore, consulta cloud-credential-operator
Le autorizzazioni definite in questo documento di policy specificano quali azioni sono consentite o negate.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "iam:GetUser", "iam:GetUserPolicy", "iam:ListAccessKeys" ], "Effect": "Allow", "Resource": "*" } ] }
[Prefisso] - -cloud-credentials openshift-image-registry-installer
Puoi collegarti alle tue entità. [Prefix]-openshift-image-registry-installer-cloud-credentials
IAM Questa politica concede le autorizzazioni necessarie all'Image Registry Operator per fornire e gestire le risorse per il registro di immagini interno al cluster della ROSA versione classica e per i servizi dipendenti, tra cui Amazon S3. Ciò è necessario per consentire all'operatore di installare e gestire il registro interno di un cluster ROSA classico. Per ulteriori informazioni sull'operatore, vedere Image Registry Operator
Le autorizzazioni definite in questo documento di policy specificano quali azioni sono consentite o negate.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:CreateBucket", "s3:DeleteBucket", "s3:PutBucketTagging", "s3:GetBucketTagging", "s3:PutBucketPublicAccessBlock", "s3:GetBucketPublicAccessBlock", "s3:PutEncryptionConfiguration", "s3:GetEncryptionConfiguration", "s3:PutLifecycleConfiguration", "s3:GetLifecycleConfiguration", "s3:GetBucketLocation", "s3:ListBucket", "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:ListBucketMultipartUploads", "s3:AbortMultipartUpload", "s3:ListMultipartUploadParts" ], "Effect": "Allow", "Resource": "*" } ] }
[Prefisso] - - openshift-cloud-network-config controller-cloud-cr
Puoi collegarti [Prefix]-openshift-cloud-network-config-controller-cloud-cr
alle tue IAM entità. Questa politica concede le autorizzazioni necessarie all'operatore del controller di Cloud Network Config per fornire e gestire le risorse di rete da utilizzare con il ROSA classico overlay di rete del cluster. L'operatore utilizza queste autorizzazioni per gestire gli indirizzi IP privati per Amazon EC2 istanze come parte del cluster ROSA classico. Per ulteriori informazioni sull'operatore, vedere C loud-network-config-controller
Le autorizzazioni definite in questo documento di policy specificano quali azioni sono consentite o negate.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ec2:DescribeInstances", "ec2:DescribeInstanceStatus", "ec2:DescribeInstanceTypes", "ec2:UnassignPrivateIpAddresses", "ec2:AssignPrivateIpAddresses", "ec2:UnassignIpv6Addresses", "ec2:AssignIpv6Addresses", "ec2:DescribeSubnets", "ec2:DescribeNetworkInterfaces" ], "Effect": "Allow", "Resource": "*" } ] }