Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# ROSA exemples de politiques basées sur l'identité
Par défaut, Utilisateurs IAM les rôles ne sont pas autorisés à créer ou à modifier AWS des ressources. Ils ne peuvent pas non plus effectuer de tâches à l'aide de l' AWS API AWS Management Console AWS CLI, ou. Un IAM administrateur doit créer des IAM politiques qui accordent aux utilisateurs et aux rôles l'autorisation d'effectuer des opérations d'API spécifiques sur les ressources spécifiques dont ils ont besoin. L'administrateur doit ensuite associer ces politiques au Utilisateurs IAM ou aux groupes qui nécessitent ces autorisations.
Pour savoir comment créer une politique IAM basée sur l'identité à l'aide de ces exemples de documents de stratégie JSON, consultez la section [Création de politiques dans l'onglet JSON du](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) guide de l'utilisateur *IAM*.
## Utilisation de la ROSA console
Pour s'abonner ROSA depuis la console, votre principal IAM doit disposer des AWS Marketplace autorisations requises. Les autorisations permettent au principal de s'abonner et de se désabonner de la liste des ROSA produits AWS Marketplace et de consulter AWS Marketplace les abonnements. Pour ajouter les autorisations requises, accédez à la [ROSA console](https://console.aws.amazon.com/rosa) et attachez la politique AWS gérée `ROSAManageSubscription` à votre principal IAM. Pour plus d’informations sur `ROSAManageSubscription`, consultez [AWS politique gérée : ROSAManage Abonnement](security-iam-awsmanpol.md#security-iam-awsmanpol-rosamanagesubscription).
## Autoriser ROSA with HCP à gérer les ressources AWS
ROSA avec plans de contrôle hébergés (HCP) utilise des politiques AWS gérées avec des autorisations requises pour le fonctionnement et le support du service. Vous utilisez la ROSA CLI ou IAM la console pour associer ces politiques aux rôles de service de votre Compte AWS.
Pour de plus amples informations, veuillez consulter [AWS politiques gérées pour ROSA](security-iam-awsmanpol.md).
## Autoriser ROSA Classic à gérer les ressources AWS
ROSA classic utilise des politiques IAM gérées par le client avec des autorisations prédéfinies par le service. Vous utilisez la ROSA CLI pour créer ces politiques et les associer à des rôles de service dans votre Compte AWS. ROSA exige que ces politiques soient configurées comme définies par le service afin de garantir un fonctionnement et un support de service continus.
**Note**
Vous ne devez pas modifier les politiques classiques de ROSA sans consulter au préalable Red Hat. Cela pourrait annuler le contrat de niveau de service de 99,95 % de disponibilité du cluster conclu par Red Hat. ROSA avec plans de contrôle hébergés utilise des politiques AWS gérées avec un ensemble d'autorisations plus limité. Pour de plus amples informations, veuillez consulter [AWS politiques gérées pour ROSA](security-iam-awsmanpol.md).
Il existe deux types de politiques gérées par le client pour ROSA : les politiques de compte et les politiques d'opérateur. Les politiques de compte sont associées aux IAM rôles que le service utilise pour établir une relation de confiance avec Red Hat en matière de support technique (SRE), de création de clusters et de fonctionnalités de calcul. Les politiques d'opérateur sont associées aux IAM rôles que OpenShift les opérateurs utilisent pour les opérations de cluster liées à l'entrée, au stockage, au registre d'images et à la gestion des nœuds. Les politiques de compte sont créées une fois par cluster Compte AWS, tandis que les politiques d'opérateur sont créées une fois par cluster.
Pour plus d’informations, consultez [Politiques relatives aux comptes ROSA Classic](security-iam-rosa-classic-account-policies.md) et [Politiques des opérateurs ROSA Classic](security-iam-rosa-classic-operator-policies.md).
## Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations
Cet exemple montre comment vous pouvez créer une politique qui Utilisateurs IAM permet de visualiser les politiques intégrées et gérées associées à leur identité d'utilisateur. Cette politique inclut les autorisations permettant d'effectuer cette action sur la console ou par programmation à l'aide du. AWS CLI
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Effect": "Allow",
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
# Politiques relatives aux comptes ROSA Classic
Cette section fournit des détails sur les politiques de compte requises pour ROSA Classic. Ces autorisations sont nécessaires pour que ROSA classic puisse gérer les AWS ressources sur lesquelles les clusters s'exécutent et permettre à l'ingénieur de fiabilité des sites Red Hat de prendre en charge les clusters. Vous pouvez attribuer un préfixe personnalisé aux noms des politiques, mais ces politiques doivent sinon être nommées comme indiqué sur cette page (par exemple,`ManagedOpenShift-Installer-Role-Policy`).
Les politiques de compte sont spécifiques à une version OpenShift mineure et sont rétrocompatibles. Avant de créer ou de mettre à niveau un cluster, vous devez vérifier que la version de la politique et la version du cluster sont identiques en exécutant`rosa list account-roles`. Si la version de la politique est inférieure à la version du cluster, exécutez `rosa upgrade account-roles` pour mettre à niveau les rôles et les politiques associées. Vous pouvez utiliser les mêmes politiques de compte et les mêmes rôles pour plusieurs clusters de la même version mineure.
## [Préfixe] -Installer-Role-Policy
Vous pouvez attacher `[Prefix]-Installer-Role-Policy` à vos entités IAM. Avant de créer un cluster ROSA classic, vous devez d'abord associer cette politique à un rôle IAM nommé`[Prefix]-Installer-Role`. Cette politique accorde les autorisations requises qui permettent au ROSA programme d'installation de gérer les AWS ressources nécessaires à la création du cluster.
### Politique d’autorisations
Les autorisations définies dans ce document de politique précisent quelles actions sont autorisées ou refusées.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"autoscaling:DescribeAutoScalingGroups",
"ec2:AllocateAddress",
"ec2:AssociateAddress",
"ec2:AssociateDhcpOptions",
"ec2:AssociateRouteTable",
"ec2:AttachInternetGateway",
"ec2:AttachNetworkInterface",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CopyImage",
"ec2:CreateDhcpOptions",
"ec2:CreateInternetGateway",
"ec2:CreateNatGateway",
"ec2:CreateNetworkInterface",
"ec2:CreateRoute",
"ec2:CreateRouteTable",
"ec2:CreateSecurityGroup",
"ec2:CreateSubnet",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:CreateVpc",
"ec2:CreateVpcEndpoint",
"ec2:DeleteDhcpOptions",
"ec2:DeleteInternetGateway",
"ec2:DeleteNatGateway",
"ec2:DeleteNetworkInterface",
"ec2:DeleteRoute",
"ec2:DeleteRouteTable",
"ec2:DeleteSecurityGroup",
"ec2:DeleteSnapshot",
"ec2:DeleteSubnet",
"ec2:DeleteTags",
"ec2:DeleteVolume",
"ec2:DeleteVpc",
"ec2:DeleteVpcEndpoints",
"ec2:DeregisterImage",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAddresses",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeDhcpOptions",
"ec2:DescribeImages",
"ec2:DescribeInstanceAttribute",
"ec2:DescribeInstanceCreditSpecifications",
"ec2:DescribeInstances",
"ec2:DescribeInstanceStatus",
"ec2:DescribeInstanceTypeOfferings",
"ec2:DescribeInstanceTypes",
"ec2:DescribeInternetGateways",
"ec2:DescribeKeyPairs",
"ec2:DescribeNatGateways",
"ec2:DescribeNetworkAcls",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribePrefixLists",
"ec2:DescribeRegions",
"ec2:DescribeReservedInstancesOfferings",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSecurityGroupRules",
"ec2:DescribeSubnets",
"ec2:DescribeTags",
"ec2:DescribeVolumes",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcClassicLink",
"ec2:DescribeVpcClassicLinkDnsSupport",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcs",
"ec2:DetachInternetGateway",
"ec2:DisassociateRouteTable",
"ec2:GetConsoleOutput",
"ec2:GetEbsDefaultKmsKeyId",
"ec2:ModifyInstanceAttribute",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:ModifySubnetAttribute",
"ec2:ModifyVpcAttribute",
"ec2:ReleaseAddress",
"ec2:ReplaceRouteTableAssociation",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:RunInstances",
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:TerminateInstances",
"elasticloadbalancing:AddTags",
"elasticloadbalancing:ApplySecurityGroupsToLoadBalancer",
"elasticloadbalancing:AttachLoadBalancerToSubnets",
"elasticloadbalancing:ConfigureHealthCheck",
"elasticloadbalancing:CreateListener",
"elasticloadbalancing:CreateLoadBalancer",
"elasticloadbalancing:CreateLoadBalancerListeners",
"elasticloadbalancing:CreateTargetGroup",
"elasticloadbalancing:DeleteLoadBalancer",
"elasticloadbalancing:DeleteTargetGroup",
"elasticloadbalancing:DeregisterInstancesFromLoadBalancer",
"elasticloadbalancing:DeregisterTargets",
"elasticloadbalancing:DescribeAccountLimits",
"elasticloadbalancing:DescribeInstanceHealth",
"elasticloadbalancing:DescribeListeners",
"elasticloadbalancing:DescribeLoadBalancerAttributes",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeTags",
"elasticloadbalancing:DescribeTargetGroupAttributes",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeTargetHealth",
"elasticloadbalancing:ModifyLoadBalancerAttributes",
"elasticloadbalancing:ModifyTargetGroup",
"elasticloadbalancing:ModifyTargetGroupAttributes",
"elasticloadbalancing:RegisterInstancesWithLoadBalancer",
"elasticloadbalancing:RegisterTargets",
"elasticloadbalancing:SetLoadBalancerPoliciesOfListener",
"iam:AddRoleToInstanceProfile",
"iam:CreateInstanceProfile",
"iam:DeleteInstanceProfile",
"iam:GetInstanceProfile",
"iam:TagInstanceProfile",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:GetUser",
"iam:ListAttachedRolePolicies",
"iam:ListInstanceProfiles",
"iam:ListInstanceProfilesForRole",
"iam:ListRolePolicies",
"iam:ListRoles",
"iam:ListUserPolicies",
"iam:ListUsers",
"iam:RemoveRoleFromInstanceProfile",
"iam:SimulatePrincipalPolicy",
"iam:TagRole",
"iam:UntagRole",
"route53:ChangeResourceRecordSets",
"route53:ChangeTagsForResource",
"route53:CreateHostedZone",
"route53:DeleteHostedZone",
"route53:GetAccountLimit",
"route53:GetChange",
"route53:GetHostedZone",
"route53:ListHostedZones",
"route53:ListHostedZonesByName",
"route53:ListResourceRecordSets",
"route53:ListTagsForResource",
"route53:UpdateHostedZoneComment",
"s3:CreateBucket",
"s3:DeleteBucket",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:GetAccelerateConfiguration",
"s3:GetBucketAcl",
"s3:GetBucketCORS",
"s3:GetBucketLocation",
"s3:GetBucketLogging",
"s3:GetBucketObjectLockConfiguration",
"s3:GetBucketPolicy",
"s3:GetReplicationConfiguration",
"s3:GetBucketRequestPayment",
"s3:GetBucketTagging",
"s3:GetBucketVersioning",
"s3:GetBucketWebsite",
"s3:GetEncryptionConfiguration",
"s3:GetLifecycleConfiguration",
"s3:GetObject",
"s3:GetObjectAcl",
"s3:GetObjectTagging",
"s3:GetObjectVersion",
"s3:GetReplicationConfiguration",
"s3:ListBucket",
"s3:ListBucketVersions",
"s3:PutBucketAcl",
"s3:PutBucketTagging",
"s3:PutBucketVersioning",
"s3:PutEncryptionConfiguration",
"s3:PutObject",
"s3:PutObjectAcl",
"s3:PutObjectTagging",
"servicequotas:GetServiceQuota",
"servicequotas:ListAWSDefaultServiceQuotas",
"sts:AssumeRole",
"sts:AssumeRoleWithWebIdentity",
"sts:GetCallerIdentity",
"tag:GetResources",
"tag:UntagResources",
"ec2:CreateVpcEndpointServiceConfiguration",
"ec2:DeleteVpcEndpointServiceConfigurations",
"ec2:DescribeVpcEndpointServiceConfigurations",
"ec2:DescribeVpcEndpointServicePermissions",
"ec2:DescribeVpcEndpointServices",
"ec2:ModifyVpcEndpointServicePermissions",
"kms:DescribeKey",
"cloudwatch:GetMetricData"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"secretsmanager:GetSecretValue"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/red-hat-managed": "true"
}
}
}
]
}
```
## [Préfixe] - ControlPlane -Role-Policy
Vous pouvez attacher `[Prefix]-ControlPlane-Role-Policy` à vos entités IAM. Avant de créer un cluster ROSA classic, vous devez d'abord associer cette politique à un rôle IAM nommé`[Prefix]-ControlPlane-Role`. Cette politique accorde les autorisations requises à ROSA classic pour gérer Amazon EC2 les Elastic Load Balancing ressources hébergeant le plan de ROSA contrôle, ainsi que pour lire KMS keys.
### Politique d’autorisations
Les autorisations définies dans ce document de politique précisent quelles actions sont autorisées ou refusées.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ec2:AttachVolume",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:DeleteSecurityGroup",
"ec2:DeleteVolume",
"ec2:Describe*",
"ec2:DetachVolume",
"ec2:ModifyInstanceAttribute",
"ec2:ModifyVolume",
"ec2:RevokeSecurityGroupIngress",
"elasticloadbalancing:AddTags",
"elasticloadbalancing:AttachLoadBalancerToSubnets",
"elasticloadbalancing:ApplySecurityGroupsToLoadBalancer",
"elasticloadbalancing:CreateListener",
"elasticloadbalancing:CreateLoadBalancer",
"elasticloadbalancing:CreateLoadBalancerPolicy",
"elasticloadbalancing:CreateLoadBalancerListeners",
"elasticloadbalancing:CreateTargetGroup",
"elasticloadbalancing:ConfigureHealthCheck",
"elasticloadbalancing:DeleteListener",
"elasticloadbalancing:DeleteLoadBalancer",
"elasticloadbalancing:DeleteLoadBalancerListeners",
"elasticloadbalancing:DeleteTargetGroup",
"elasticloadbalancing:DeregisterInstancesFromLoadBalancer",
"elasticloadbalancing:DeregisterTargets",
"elasticloadbalancing:Describe*",
"elasticloadbalancing:DetachLoadBalancerFromSubnets",
"elasticloadbalancing:ModifyListener",
"elasticloadbalancing:ModifyLoadBalancerAttributes",
"elasticloadbalancing:ModifyTargetGroup",
"elasticloadbalancing:ModifyTargetGroupAttributes",
"elasticloadbalancing:RegisterInstancesWithLoadBalancer",
"elasticloadbalancing:RegisterTargets",
"elasticloadbalancing:SetLoadBalancerPoliciesForBackendServer",
"elasticloadbalancing:SetLoadBalancerPoliciesOfListener",
"kms:DescribeKey"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
## [Préfixe] -Worker-Role-Policy
Vous pouvez attacher `[Prefix]-Worker-Role-Policy` à vos entités IAM. Avant de créer un cluster ROSA classic, vous devez d'abord associer cette politique à un rôle IAM nommé`[Prefix]-Worker-Role`. Cette politique accorde les autorisations requises à ROSA classic pour décrire les instances EC2 exécutées en tant que nœuds de travail.
### Politique d’autorisations
Les autorisations définies dans ce document de politique précisent quelles actions sont autorisées ou refusées.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeRegions"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
## [Préfixe] -Support-Role-Policy
Vous pouvez attacher `[Prefix]-Support-Role-Policy` à vos entités IAM. Avant de créer un cluster ROSA classic, vous devez d'abord associer cette politique à un rôle IAM nommé`[Prefix]-Support-Role`. Cette politique accorde les autorisations requises à l'ingénierie de fiabilité des sites Red Hat pour observer, diagnostiquer et prendre en charge les AWS ressources utilisées par les clusters ROSA Classic, y compris la possibilité de modifier l'état des nœuds du cluster.
### Politique d’autorisations
Les autorisations définies dans ce document de politique précisent quelles actions sont autorisées ou refusées.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"cloudtrail:DescribeTrails",
"cloudtrail:LookupEvents",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"ec2-instance-connect:SendSerialConsoleSSHPublicKey",
"ec2:CopySnapshot",
"ec2:CreateNetworkInsightsPath",
"ec2:CreateSnapshot",
"ec2:CreateSnapshots",
"ec2:CreateTags",
"ec2:DeleteNetworkInsightsAnalysis",
"ec2:DeleteNetworkInsightsPath",
"ec2:DeleteTags",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAddresses",
"ec2:DescribeAddressesAttribute",
"ec2:DescribeAggregateIdFormat",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeByoipCidrs",
"ec2:DescribeCapacityReservations",
"ec2:DescribeCarrierGateways",
"ec2:DescribeClassicLinkInstances",
"ec2:DescribeClientVpnAuthorizationRules",
"ec2:DescribeClientVpnConnections",
"ec2:DescribeClientVpnEndpoints",
"ec2:DescribeClientVpnRoutes",
"ec2:DescribeClientVpnTargetNetworks",
"ec2:DescribeCoipPools",
"ec2:DescribeCustomerGateways",
"ec2:DescribeDhcpOptions",
"ec2:DescribeEgressOnlyInternetGateways",
"ec2:DescribeIamInstanceProfileAssociations",
"ec2:DescribeIdentityIdFormat",
"ec2:DescribeIdFormat",
"ec2:DescribeImageAttribute",
"ec2:DescribeImages",
"ec2:DescribeInstanceAttribute",
"ec2:DescribeInstances",
"ec2:DescribeInstanceStatus",
"ec2:DescribeInstanceTypeOfferings",
"ec2:DescribeInstanceTypes",
"ec2:DescribeInternetGateways",
"ec2:DescribeIpv6Pools",
"ec2:DescribeKeyPairs",
"ec2:DescribeLaunchTemplates",
"ec2:DescribeLocalGatewayRouteTables",
"ec2:DescribeLocalGatewayRouteTableVirtualInterfaceGroupAssociations",
"ec2:DescribeLocalGatewayRouteTableVpcAssociations",
"ec2:DescribeLocalGateways",
"ec2:DescribeLocalGatewayVirtualInterfaceGroups",
"ec2:DescribeLocalGatewayVirtualInterfaces",
"ec2:DescribeManagedPrefixLists",
"ec2:DescribeNatGateways",
"ec2:DescribeNetworkAcls",
"ec2:DescribeNetworkInsightsAnalyses",
"ec2:DescribeNetworkInsightsPaths",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribePlacementGroups",
"ec2:DescribePrefixLists",
"ec2:DescribePrincipalIdFormat",
"ec2:DescribePublicIpv4Pools",
"ec2:DescribeRegions",
"ec2:DescribeReservedInstances",
"ec2:DescribeRouteTables",
"ec2:DescribeScheduledInstances",
"ec2:DescribeSecurityGroupReferences",
"ec2:DescribeSecurityGroupRules",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSnapshotAttribute",
"ec2:DescribeSnapshots",
"ec2:DescribeSpotFleetInstances",
"ec2:DescribeStaleSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeTags",
"ec2:DescribeTransitGatewayAttachments",
"ec2:DescribeTransitGatewayConnectPeers",
"ec2:DescribeTransitGatewayConnects",
"ec2:DescribeTransitGatewayMulticastDomains",
"ec2:DescribeTransitGatewayPeeringAttachments",
"ec2:DescribeTransitGatewayRouteTables",
"ec2:DescribeTransitGateways",
"ec2:DescribeTransitGatewayVpcAttachments",
"ec2:DescribeVolumeAttribute",
"ec2:DescribeVolumes",
"ec2:DescribeVolumesModifications",
"ec2:DescribeVolumeStatus",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcClassicLink",
"ec2:DescribeVpcClassicLinkDnsSupport",
"ec2:DescribeVpcEndpointConnectionNotifications",
"ec2:DescribeVpcEndpointConnections",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcEndpointServiceConfigurations",
"ec2:DescribeVpcEndpointServicePermissions",
"ec2:DescribeVpcEndpointServices",
"ec2:DescribeVpcPeeringConnections",
"ec2:DescribeVpcs",
"ec2:DescribeVpnConnections",
"ec2:DescribeVpnGateways",
"ec2:GetAssociatedIpv6PoolCidrs",
"ec2:GetConsoleOutput",
"ec2:GetManagedPrefixListEntries",
"ec2:GetSerialConsoleAccessStatus",
"ec2:GetTransitGatewayAttachmentPropagations",
"ec2:GetTransitGatewayMulticastDomainAssociations",
"ec2:GetTransitGatewayPrefixListReferences",
"ec2:GetTransitGatewayRouteTableAssociations",
"ec2:GetTransitGatewayRouteTablePropagations",
"ec2:ModifyInstanceAttribute",
"ec2:RebootInstances",
"ec2:RunInstances",
"ec2:SearchLocalGatewayRoutes",
"ec2:SearchTransitGatewayMulticastGroups",
"ec2:SearchTransitGatewayRoutes",
"ec2:StartInstances",
"ec2:StartNetworkInsightsAnalysis",
"ec2:StopInstances",
"ec2:TerminateInstances",
"elasticloadbalancing:ConfigureHealthCheck",
"elasticloadbalancing:DescribeAccountLimits",
"elasticloadbalancing:DescribeInstanceHealth",
"elasticloadbalancing:DescribeListenerCertificates",
"elasticloadbalancing:DescribeListeners",
"elasticloadbalancing:DescribeLoadBalancerAttributes",
"elasticloadbalancing:DescribeLoadBalancerPolicies",
"elasticloadbalancing:DescribeLoadBalancerPolicyTypes",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeRules",
"elasticloadbalancing:DescribeSSLPolicies",
"elasticloadbalancing:DescribeTags",
"elasticloadbalancing:DescribeTargetGroupAttributes",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeTargetHealth",
"iam:GetRole",
"iam:ListRoles",
"kms:CreateGrant",
"route53:GetHostedZone",
"route53:GetHostedZoneCount",
"route53:ListHostedZones",
"route53:ListHostedZonesByName",
"route53:ListResourceRecordSets",
"s3:GetBucketTagging",
"s3:GetObjectAcl",
"s3:GetObjectTagging",
"s3:ListAllMyBuckets",
"sts:DecodeAuthorizationMessage",
"tiros:CreateQuery",
"tiros:GetQueryAnswer",
"tiros:GetQueryExplanation"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"s3:ListBucket"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::managed-velero*",
"arn:aws:s3:::*image-registry*"
]
}
]
}
```
# Politiques des opérateurs ROSA Classic
Cette section fournit des détails sur les politiques d'opérateur requises pour ROSA classic. Avant de créer un cluster ROSA classic, vous devez d'abord associer ces politiques aux rôles d'opérateur concernés. Un ensemble unique de rôles d'opérateur est requis pour chaque cluster.
Ces autorisations sont nécessaires pour permettre aux OpenShift opérateurs de gérer les nœuds de cluster ROSA Classic. Vous pouvez attribuer un préfixe personnalisé aux noms des politiques pour simplifier la gestion des politiques (par exemple,`ManagedOpenShift-openshift-ingress-operator-cloud-credentials`).
## [Préfixe] - -credentials openshift-ingress-operator-cloud
Vous pouvez attacher `[Prefix]-openshift-ingress-operator-cloud-credentials` à vos entités IAM. Cette politique accorde les autorisations requises à l'opérateur d'entrée pour provisionner et gérer les équilibreurs de charge et les configurations DNS pour l'accès au cluster externe. La politique permet également à l'opérateur d'entrée de lire et de filtrer les valeurs Route 53 des balises de ressources afin de découvrir les zones hébergées. Pour plus d'informations sur l'opérateur, voir [OpenShift Ingress Operator](https://github.com/openshift/cluster-ingress-operator) dans la OpenShift GitHub documentation.
### Politique d’autorisations
Les autorisations définies dans ce document de politique précisent quelles actions sont autorisées ou refusées.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"elasticloadbalancing:DescribeLoadBalancers",
"route53:ListHostedZones",
"route53:ListTagsForResources",
"route53:ChangeResourceRecordSets",
"tag:GetResources"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
## [Préfixe] - - openshift-cluster-csi-drivers ebs-cloud-credentials
Vous pouvez attacher `[Prefix]-openshift-cluster-csi-drivers-ebs-cloud-credentials` à vos entités IAM. Cette politique accorde les autorisations requises à l'opérateur du pilote Amazon EBS CSI pour installer et gérer le pilote Amazon EBS CSI sur un cluster ROSA classic. Pour plus d'informations sur l'opérateur, consultez [aws-ebs-csi-driver-operator](https://github.com/openshift/aws-ebs-csi-driver-operator#aws-ebs-csi-driver-operator) dans la OpenShift GitHub documentation.
### Politique d’autorisations
Les autorisations définies dans ce document de politique précisent quelles actions sont autorisées ou refusées.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ec2:AttachVolume",
"ec2:CreateSnapshot",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:DeleteSnapshot",
"ec2:DeleteTags",
"ec2:DeleteVolume",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeInstances",
"ec2:DescribeSnapshots",
"ec2:DescribeTags",
"ec2:DescribeVolumes",
"ec2:DescribeVolumesModifications",
"ec2:DetachVolume",
"ec2:EnableFastSnapshotRestores",
"ec2:ModifyVolume"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
## [Préfixe] - -cloud-credentials openshift-machine-api-aws
Vous pouvez attacher `[Prefix]-openshift-machine-api-aws-cloud-credentials` à vos entités IAM. Cette politique accorde les autorisations requises à l'opérateur Machine Config pour décrire, exécuter et mettre fin aux Amazon EC2 instances gérées en tant que nœuds de travail. Cette politique accorde également des autorisations permettant le chiffrement du disque du volume racine du nœud de travail utilisé AWS KMS keys. Pour plus d'informations sur l'opérateur, consultez [machine-config-operator](https://github.com/openshift/machine-config-operator)la OpenShift GitHub documentation.
### Politique d’autorisations
Les autorisations définies dans ce document de politique précisent quelles actions sont autorisées ou refusées.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ec2:CreateTags",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeDhcpOptions",
"ec2:DescribeImages",
"ec2:DescribeInstances",
"ec2:DescribeInternetGateways",
"ec2:DescribeInstanceTypes",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRegions",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:RunInstances",
"ec2:TerminateInstances",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeTargetHealth",
"elasticloadbalancing:RegisterInstancesWithLoadBalancer",
"elasticloadbalancing:RegisterTargets",
"elasticloadbalancing:DeregisterTargets",
"iam:CreateServiceLinkedRole"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKey",
"kms:GenerateDataKeyWithoutPlainText",
"kms:DescribeKey"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"kms:RevokeGrant",
"kms:CreateGrant",
"kms:ListGrants"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
}
]
}
```
## [Préfixe] - -cloud-credentials openshift-cloud-credential-operator
Vous pouvez attacher `[Prefix]-openshift-cloud-credential-operator-cloud-credentials` à vos entités IAM. Cette politique accorde les autorisations requises à l'opérateur d'identification du cloud pour récupérer des Utilisateur IAM informations, notamment la clé d'accès IDs, les documents de politique intégrés joints, la date de création de l'utilisateur, le chemin, l'ID utilisateur et le nom de ressource Amazon (ARN). Pour plus d'informations sur l'opérateur, consultez [cloud-credential-operator](https://github.com/openshift/cloud-credential-operator)la OpenShift GitHub documentation.
### Politique d’autorisations
Les autorisations définies dans ce document de politique précisent quelles actions sont autorisées ou refusées.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iam:GetUser",
"iam:GetUserPolicy",
"iam:ListAccessKeys"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
## [Préfixe] - -cloud-credentials openshift-image-registry-installer
Vous pouvez attacher `[Prefix]-openshift-image-registry-installer-cloud-credentials` à vos entités IAM. Cette politique accorde les autorisations requises à l'opérateur du registre d'images pour fournir et gérer les ressources du registre d'images intégré au cluster de ROSA Classic et des services dépendants, notamment Amazon S3. Cela est nécessaire pour que l'opérateur puisse installer et maintenir le registre interne d'un cluster ROSA classic. Pour plus d'informations sur l'opérateur, consultez la section [Opérateur de registre d'images](https://github.com/openshift/cluster-image-registry-operator#image-registry-operator) dans la OpenShift GitHub documentation.
### Politique d’autorisations
Les autorisations définies dans ce document de politique précisent quelles actions sont autorisées ou refusées.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"s3:CreateBucket",
"s3:DeleteBucket",
"s3:PutBucketTagging",
"s3:GetBucketTagging",
"s3:PutBucketPublicAccessBlock",
"s3:GetBucketPublicAccessBlock",
"s3:PutEncryptionConfiguration",
"s3:GetEncryptionConfiguration",
"s3:PutLifecycleConfiguration",
"s3:GetLifecycleConfiguration",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:ListBucketMultipartUploads",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
## [Préfixe] - - openshift-cloud-network-config controller-cloud-cr
Vous pouvez attacher `[Prefix]-openshift-cloud-network-config-controller-cloud-cr` à vos entités IAM. Cette politique accorde les autorisations requises à l'opérateur Cloud Network Config Controller pour provisionner et gérer les ressources réseau destinées à être utilisées par la superposition réseau de clusters ROSA Classic. L'opérateur utilise ces autorisations pour gérer les adresses IP privées des Amazon EC2 instances dans le cadre du cluster ROSA Classic. Pour plus d'informations sur l'opérateur, voir [C loud-network-config-controller](https://github.com/openshift/cloud-network-config-controller#cloud-network-config-controller-cncc) dans la OpenShift GitHub documentation.
### Politique d’autorisations
Les autorisations définies dans ce document de politique précisent quelles actions sont autorisées ou refusées.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeInstanceStatus",
"ec2:DescribeInstanceTypes",
"ec2:UnassignPrivateIpAddresses",
"ec2:AssignPrivateIpAddresses",
"ec2:UnassignIpv6Addresses",
"ec2:AssignIpv6Addresses",
"ec2:DescribeSubnets",
"ec2:DescribeNetworkInterfaces"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```