기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# ROSAInstallerPolicy
**설명**: Red Hat OpenShift Service on AWS (ROSA) 설치 관리자가 ROSA 클러스터 설치를 지원하는 AWS 리소스를 관리할 수 있도록 허용합니다. 여기에는 ROSA 워커 노드에 대한 인스턴스 프로파일 관리가 포함됩니다.
`ROSAInstallerPolicy`은(는) [AWS 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)입니다.
## 이 정책 사용
사용자, 그룹 및 역할에 `ROSAInstallerPolicy`를 연결할 수 있습니다.
## 정책 세부 정보
+ **유형**: 서비스 역할 정책
+ **생성 시간**: 2023년 6월 6일, 21:00 UTC
+ **편집된 시간:** 2026년 2월 12일, 18:00 UTC
+ **ARN**: `arn:aws:iam::aws:policy/service-role/ROSAInstallerPolicy`
## 정책 버전
**정책 버전:** v10(기본값)
정책의 기본 버전은 정책에 대한 권한을 정의하는 버전입니다. 정책이 있는 사용자 또는 역할이 AWS 리소스에 대한 액세스를 요청하면는 정책의 기본 버전을 AWS 확인하여 요청을 허용할지 여부를 결정합니다.
## JSON 정책 문서
```
{
"Version" : "2012-10-17",
"Statement" : [
{
"Sid" : "ReadPermissions",
"Effect" : "Allow",
"Action" : [
"ec2:DescribeAvailabilityZones",
"ec2:DescribeInternetGateways",
"ec2:DescribeInstances",
"ec2:DescribeInstanceTypes",
"ec2:DescribeRegions",
"ec2:DescribeReservedInstancesOfferings",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSecurityGroupRules",
"ec2:DescribeSubnets",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcs",
"ec2:DescribeInstanceTypeOfferings",
"ec2:DescribeCapacityReservations",
"elasticloadbalancing:DescribeAccountLimits",
"elasticloadbalancing:DescribeLoadBalancers",
"iam:GetOpenIDConnectProvider",
"iam:GetRole",
"route53:GetHostedZone",
"route53:ListHostedZones",
"route53:ListHostedZonesByName",
"route53:ListResourceRecordSets",
"route53:GetAccountLimit",
"servicequotas:GetServiceQuota"
],
"Resource" : "*"
},
{
"Sid" : "PassRoleToEC2",
"Action" : [
"iam:PassRole"
],
"Resource" : [
"arn:*:iam::*:role/*-ROSA-Worker-Role"
],
"Effect" : "Allow",
"Condition" : {
"StringEquals" : {
"iam:PassedToService" : [
"ec2.amazonaws.com"
]
}
}
},
{
"Sid" : "ManageInstanceProfiles",
"Effect" : "Allow",
"Action" : [
"iam:AddRoleToInstanceProfile",
"iam:RemoveRoleFromInstanceProfile",
"iam:DeleteInstanceProfile",
"iam:GetInstanceProfile"
],
"Resource" : [
"arn:aws:iam::*:instance-profile/rosa-service-managed-*"
]
},
{
"Sid" : "CreateInstanceProfiles",
"Effect" : "Allow",
"Action" : [
"iam:CreateInstanceProfile",
"iam:TagInstanceProfile"
],
"Resource" : [
"arn:aws:iam::*:instance-profile/rosa-service-managed-*"
],
"Condition" : {
"StringEquals" : {
"aws:RequestTag/red-hat-managed" : "true"
}
}
},
{
"Sid" : "GetSecretValue",
"Effect" : "Allow",
"Action" : [
"secretsmanager:GetSecretValue"
],
"Resource" : [
"*"
],
"Condition" : {
"StringEquals" : {
"aws:ResourceTag/red-hat-managed" : "true"
}
}
},
{
"Sid" : "Route53ManageRecords",
"Effect" : "Allow",
"Action" : [
"route53:ChangeResourceRecordSets"
],
"Resource" : "*",
"Condition" : {
"ForAllValues:StringLike" : {
"route53:ChangeResourceRecordSetsNormalizedRecordNames" : [
"*.openshiftapps.com",
"*.devshift.org",
"*.hypershift.local",
"*.openshiftusgov.com",
"*.devshiftusgov.com"
]
}
}
},
{
"Sid" : "Route53Manage",
"Effect" : "Allow",
"Action" : [
"route53:ChangeTagsForResource",
"route53:CreateHostedZone",
"route53:DeleteHostedZone"
],
"Resource" : "*"
},
{
"Sid" : "CreateTags",
"Effect" : "Allow",
"Action" : [
"ec2:CreateTags"
],
"Resource" : [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:volume/*"
],
"Condition" : {
"StringEquals" : {
"ec2:CreateAction" : [
"RunInstances"
]
}
}
},
{
"Sid" : "RunInstancesNoCondition",
"Effect" : "Allow",
"Action" : "ec2:RunInstances",
"Resource" : [
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:network-interface/*",
"arn:aws:ec2:*:*:security-group/*",
"arn:aws:ec2:*:*:snapshot/*"
]
},
{
"Sid" : "RunInstancesRestrictedRequestTag",
"Effect" : "Allow",
"Action" : "ec2:RunInstances",
"Resource" : [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:volume/*"
],
"Condition" : {
"StringEquals" : {
"aws:RequestTag/red-hat-managed" : "true"
}
}
},
{
"Sid" : "RunInstancesRedHatOwnedAMIs",
"Effect" : "Allow",
"Action" : [
"ec2:RunInstances"
],
"Resource" : [
"arn:aws:ec2:*:*:image/*"
],
"Condition" : {
"StringEquals" : {
"ec2:Owner" : [
"531415883065",
"251351625822",
"210686502322"
]
}
}
},
{
"Sid" : "ManageInstancesRestrictedResourceTag",
"Effect" : "Allow",
"Action" : [
"ec2:TerminateInstances",
"ec2:GetConsoleOutput"
],
"Resource" : "arn:aws:ec2:*:*:instance/*",
"Condition" : {
"StringEquals" : {
"aws:ResourceTag/red-hat-managed" : "true"
}
}
},
{
"Sid" : "CreateGrantRestrictedResourceTag",
"Effect" : "Allow",
"Action" : [
"kms:CreateGrant"
],
"Resource" : "*",
"Condition" : {
"StringEquals" : {
"aws:ResourceTag/red-hat" : "true"
},
"StringLike" : {
"kms:ViaService" : "ec2.*.amazonaws.com"
},
"Bool" : {
"kms:GrantIsForAWSResource" : true
}
}
},
{
"Sid" : "ManagedKMSRestrictedResourceTag",
"Effect" : "Allow",
"Action" : [
"kms:DescribeKey",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource" : "*",
"Condition" : {
"StringEquals" : {
"aws:ResourceTag/red-hat" : "true"
}
}
},
{
"Sid" : "CreateSecurityGroups",
"Effect" : "Allow",
"Action" : [
"ec2:CreateSecurityGroup"
],
"Resource" : [
"arn:aws:ec2:*:*:security-group*/*"
],
"Condition" : {
"StringEquals" : {
"aws:RequestTag/red-hat-managed" : "true"
}
}
},
{
"Sid" : "DeleteSecurityGroup",
"Effect" : "Allow",
"Action" : [
"ec2:DeleteSecurityGroup"
],
"Resource" : [
"arn:aws:ec2:*:*:security-group*/*"
],
"Condition" : {
"StringEquals" : {
"aws:ResourceTag/red-hat-managed" : "true"
}
}
},
{
"Sid" : "SecurityGroupIngressEgress",
"Effect" : "Allow",
"Action" : [
"ec2:AuthorizeSecurityGroupIngress",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:RevokeSecurityGroupEgress"
],
"Resource" : [
"arn:aws:ec2:*:*:security-group*/*"
],
"Condition" : {
"StringEquals" : {
"aws:ResourceTag/red-hat-managed" : "true"
}
}
},
{
"Sid" : "CreateSecurityGroupsVPCNoCondition",
"Effect" : "Allow",
"Action" : [
"ec2:CreateSecurityGroup"
],
"Resource" : [
"arn:aws:ec2:*:*:vpc/*"
]
},
{
"Sid" : "CreateTagsRestrictedActions",
"Effect" : "Allow",
"Action" : [
"ec2:CreateTags"
],
"Resource" : [
"arn:aws:ec2:*:*:security-group/*"
],
"Condition" : {
"StringEquals" : {
"ec2:CreateAction" : [
"CreateSecurityGroup"
]
}
}
},
{
"Sid" : "CreateTagsK8sSubnet",
"Effect" : "Allow",
"Action" : [
"ec2:CreateTags"
],
"Resource" : [
"arn:aws:ec2:*:*:subnet/*"
],
"Condition" : {
"ForAllValues:StringLike" : {
"aws:TagKeys" : [
"kubernetes.io/cluster/*"
]
}
}
},
{
"Sid" : "DeleteTagsK8sSubnet",
"Effect" : "Allow",
"Action" : [
"ec2:DeleteTags"
],
"Resource" : [
"arn:aws:ec2:*:*:subnet/*"
],
"Condition" : {
"Null" : {
"aws:TagKeys" : "false"
},
"ForAllValues:StringLike" : {
"aws:TagKeys" : [
"kubernetes.io/cluster/*"
]
}
}
},
{
"Sid" : "ListPoliciesAttachedToRoles",
"Effect" : "Allow",
"Action" : [
"iam:ListAttachedRolePolicies",
"iam:ListRolePolicies"
],
"Resource" : "arn:aws:iam::*:role/*",
"Condition" : {
"StringEquals" : {
"aws:ResourceTag/red-hat-managed" : "true"
}
}
}
]
}
```
## 자세히 알아보기
+ [IAM Identity Center에서 AWS 관리형 정책을 사용하여 권한 세트 생성](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtocreatepermissionset.html)
+ [IAM 자격 증명 권한 추가 및 제거](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)
+ [IAM 정책의 버전 관리 이해](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_managed-versioning.html)
+ [AWS 관리형 정책 시작하기 및 최소 권한으로 이동](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)