本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 的身分和存取管理 ROSA
AWS Identity and Access Management (IAM) 是 AWS 服務 ,可協助管理員安全地控制對 AWS 資源的存取。 IAM 管理員可控制誰可以經過*身分驗證 *(登入) 和*授權* (具有許可) 來使用 ROSA 資源。 IAM 是 AWS 服務 您可以免費使用的 。
**Topics**
+ [
## 目標對象
](#security-iam-audience)
+ [
## 使用身分驗證
](#security-iam-authentication)
+ [
## 使用政策管理存取權
](#security-iam-access-manage)
+ [
# ROSA 身分型政策範例
](security-iam-id-based-policy-examples.md)
+ [
# AWS 的 受管政策 ROSA
](security-iam-awsmanpol.md)
+ [
# 對 ROSA 身分和存取進行故障診斷
](security-iam-troubleshoot.md)
## 目標對象
您的使用方式 AWS Identity and Access Management (IAM) 會有所不同,取決於您所做的工作 ROSA。
**服務使用者** - 如果您使用 ROSA 服務來執行任務,您的管理員會為您提供所需的登入資料和許可。當您使用更多 ROSA 功能來執行工作時,您可能需要額外的許可。了解存取許可的管理方式可協助您向管理員請求正確的許可。如果您無法存取 中的功能 ROSA,請參閱 [對 ROSA 身分和存取進行故障診斷](security-iam-troubleshoot.md)。
**服務管理員** - 如果您負責公司 ROSA 的資源,您可能擁有 的完整存取權 ROSA。您的任務是判斷服務使用者應存取哪些 ROSA 功能和資源。然後,您必須向 IAM 管理員提交請求,以變更服務使用者的許可。檢閱此頁面上的資訊,以了解 的基本概念 IAM。
** IAM 管理員** - 如果您是 IAM 管理員,建議您了解用於管理 存取的政策詳細資訊 ROSA。若要檢視您可以在 中使用的以 ROSA 身分為基礎的政策範例 IAM,請參閱 [ROSA 身分型政策範例](security-iam-id-based-policy-examples.md)。
## 使用身分驗證
身分驗證是您 AWS 使用身分憑證登入 的方式。您必須擔任 IAM 角色,以 AWS 帳戶 根使用者 IAM 使用者、 或 身分*進行身分驗證* (登入 AWS)。
您可以使用透過身分來源提供的登入資料,以聯合身分 AWS 的形式登入 。 AWS IAM Identity Center (IAM Identity Center) 使用者、您公司的單一登入身分驗證,以及您的 Google 或 Facebook 登入資料,都是聯合身分的範例。當您以聯合身分身分登入時,您的管理員先前會使用 IAM 角色設定聯合身分。當您使用聯合 AWS 身分存取 時,您會間接擔任角色。
根據您的使用者類型,您可以登入 AWS 管理主控台 或 AWS 存取入口網站。如需登入的詳細資訊 AWS,請參閱* AWS 《 登入使用者指南*》中的[如何登入您的 AWS 帳戶](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) 。
如果您以 AWS 程式設計方式存取 , AWS 會提供軟體開發套件 (SDK) 和命令列界面 (CLI),以使用您的 憑證以密碼編譯方式簽署您的請求。如果您不使用 AWS 工具,則必須自行簽署請求。如需有關使用建議的方法來自行簽署請求的詳細資訊,請參閱* IAM 《 使用者指南*》中的[簽署 AWS API 請求](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-signing.html)。
無論您使用何種身分驗證方法,您可能還需要提供額外的安全性資訊。例如, AWS 建議您使用多重驗證 (MFA) 來提高帳戶的安全性。若要進一步了解,請參閱《* AWS IAM Identity Center ( AWS 單一登入的後繼者) 使用者指南*》中的[多重要素驗證](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-mfa.html),以及《*IAM 使用者指南*》中的[在 中使用多重要素驗證 (MFA) AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)。
### AWS 帳戶 根使用者
當您建立 時 AWS 帳戶,您會從單一登入身分開始,該身分可完整存取帳戶中的所有 AWS 服務 和資源。此身分稱為 AWS 帳戶 根使用者,可透過使用您用來建立帳戶的電子郵件地址和密碼登入來存取。強烈建議您不要以根使用者處理日常作業。保護您的根使用者憑證,並將其用來執行只能由根使用者執行的任務。如需需要您以根使用者身分登入的任務完整清單,請參閱* IAM 《 使用者指南*》中的[需要根使用者憑證的任務](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-tasks.html)。
### 聯合身分
最佳實務是, 要求人類使用者,包括需要管理員存取權的使用者,使用 聯合身分提供者 AWS 服務 來使用臨時憑證來存取 。
聯合身分是您企業使用者目錄、Web 身分提供者、 AWS Directory Service、Identity Center 目錄或任何使用透過身分來源提供的登入資料 AWS 服務 存取的使用者。當聯合身分存取時 AWS 帳戶,它們會擔任 角色,而角色會提供臨時登入資料。
對於集中式存取權管理,我們建議您使用 AWS IAM Identity Center。您可以在 IAM Identity Center 中建立使用者和群組,也可以連接並同步到您自己的身分來源中的一組使用者 AWS 帳戶 和群組,以便在所有 和應用程式中使用。如需 IAM Identity Center 的相關資訊,請參閱《[IAM Identity Center (單一登入的後繼者) 使用者指南》中的什麼是](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) * AWS IAM Identity Center AWS *?。
### IAM 使用者 和 群組
* [IAM 使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html) * 是您 中的身分 AWS 帳戶 ,具有單一人員或應用程式的特定許可。如果可能,我們建議依賴臨時登入資料,而不是建立擁有密碼和存取金鑰等長期登入資料 IAM 使用者 的人員。不過,如果您有特定的使用案例需要使用長期登入資料 IAM 使用者,建議您輪換存取金鑰。如需更多資訊,請參閱《*IAM 使用者指南*》中的[為需要長期憑證的使用案例定期輪換存取金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials)。
[IAM 群組](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)是指定 集合的身分 IAM 使用者。您無法以群組身分登入。您可以使用群組來一次為多名使用者指定許可。群組可讓管理大量使用者許可的程序變得更為容易。例如,您可以擁有名為 *IAMAdmins* 的群組,並授予該群組管理 IAM 資源的許可。
使用者與角色不同。使用者只會與單一人員或應用程式建立關聯,但角色的目的是在由任何需要它的人員取得。使用者擁有永久的長期憑證,但角色僅提供臨時憑證。若要進一步了解,請參閱《*IAM 使用者指南*》中的[何時建立 IAM 使用者 (而非角色)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose)。
### IAM 角色
* [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*是 中具有特定許可 AWS 帳戶 的身分。它類似於 IAM 使用者,但不與特定人員相關聯。您可以透過 AWS 管理主控台 切換 IAM 角色暫時在 中擔任 角色。 [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)您可以透過呼叫 AWS CLI 或 AWS API 操作或使用自訂 URL 來擔任角色。如需使用角色方法的詳細資訊,請參閱《*IAM 使用者指南*》中的[使用 IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html)。
IAM 具有臨時登入資料的 角色在下列情況下非常有用:
+ **聯合身分使用者存取** - 若要將許可指派給聯合身分,您可以建立角色並定義角色的許可。當聯合身分進行身分驗證時,該身分會與角色建立關聯,並獲授予由角色定義的許可。如需有關聯合角色的相關資訊,請參閱 [IAM 使用者指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html)中的*為第三方身分提供者建立角色*。如果您使用 IAM Identity Center,則需要設定許可集。為控制身分驗證後可以存取的內容,IAM Identity Center 將許可集與 IAM中的角色相關聯。如需有關許可集的資訊,請參閱《* AWS IAM Identity Center ( AWS 單一登入的後續) 使用者指南*》中的[許可集](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)。
+ **暫時 IAM 使用者 許可** - IAM 使用者 可以擔任 IAM 角色,暫時接受特定任務的不同許可。
+ **跨帳戶存取** - 您可以使用 IAM 角色,允許不同帳戶中的某人 (信任的委託人) 存取您帳戶中的資源。角色是授予跨帳戶存取權的主要方式。不過,對於某些 AWS 服務,您可以直接將政策連接到資源 (而不是使用角色做為代理)。若要了解跨帳戶存取的角色和資源型政策之間的差異,請參閱[《IAM 使用者指南》中的 IAM 角色與資源型政策的差異](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。 **
+ **跨服務存取** - 有些 AWS 服務 使用其他 中的功能 AWS 服務。例如,當您在服務中呼叫 時,該服務通常會在 中執行應用程式 Amazon EC2 或將物件存放在其中 Amazon S3。服務可能會使用呼叫主體的許可、使用服務角色或使用服務連結角色來執行此作業。
+ **轉送存取工作階段** (FAS) - 當您使用 IAM 使用者 或 角色在其中執行動作時 AWS,您會被視為委託人。使用某些服務時,您可能會執行某個動作,進而在不同服務中啟動另一個動作。FAS 使用呼叫 的委託人許可 AWS 服務,結合 AWS 服務 請求向下游服務提出請求。只有在服務收到需要與其他 AWS 服務 或 資源互動才能完成的請求時,才會提出 FAS 請求。在此情況下,您必須具有執行這兩個動作的許可。如需提出 FAS 請求時的政策詳細資訊,請參閱[轉發存取工作階段](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)。
+ **服務角色** - 服務角色是服務擔任以代表您執行動作 IAM 的角色。 IAM 管理員可以從內部建立、修改和刪除服務角色 IAM。如需詳細資訊,請參閱 *IAM 使用者指南*中的[建立角色以委派許可給 AWS 服務服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
+ **服務連結角色** - 服務連結角色是連結至 的一種服務角色 AWS 服務。服務可以擔任代表您執行動作的角色。服務連結角色會顯示在您的帳戶中 IAM ,並由服務擁有。 IAM 管理員可以檢視,但不能編輯服務連結角色的許可。
+ **在 上執行 Amazon EC2 的應用程式 ** - 您可以使用 IAM 角色來管理在 Amazon EC2 執行個體上執行之應用程式的臨時登入資料,以及提出 AWS CLI 或 AWS API 請求。這較適合將存取金鑰存放在 Amazon EC2 執行個體中。若要將 AWS 角色指派給 Amazon EC2 執行個體並將其提供給其所有應用程式,您可以建立連接至執行個體的執行個體描述檔。執行個體描述檔包含 角色,並可讓在 Amazon EC2 執行個體上執行的程式取得臨時登入資料。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[使用 IAM 角色將許可授予在 Amazon EC2 執行個體上執行的應用程式](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html)。
若要了解如何使用 IAM 角色或 IAM 使用者,請參閱《*IAM 使用者指南*》中的[建立 IAM 角色 (而非使用者) 的時機](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose_role)。
## 使用政策管理存取權
您可以透過建立政策並將其連接到身分或資源 AWS 來控制 AWS 中的存取。政策是 中的物件,當與身分或資源相關聯時, AWS 會定義其許可。當委託人 (使用者、根使用者或角色工作階段) 發出請求時, 會 AWS 評估這些政策。政策中的許可決定是否允許或拒絕請求。大多數政策會以 JSON 文件 AWS 的形式存放在 中。如需 JSON 政策文件結構和內容的詳細資訊,請參閱《*IAM 使用者指南*》中的 [JSON 政策概觀](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)。
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
預設情況下,使用者和角色沒有許可。若要授予使用者對所需資源執行動作的許可, IAM 管理員可以建立 IAM 政策。然後,管理員可以將 IAM 政策新增至角色,使用者可以擔任角色。
IAM 無論您用來執行操作的方法為何, 政策都會定義動作的許可。例如,假設您有一個允許 `iam:GetRole` 動作的政策。具有該政策的使用者可以從 AWS 管理主控台 AWS CLI、 或 AWS API 取得角色資訊。
### 身分型政策
身分型政策是您可以連接到身分的 JSON 許可政策文件,例如 IAM 使用者、 角色或 群組。這些政策可控制身分在何種條件下能對哪些資源執行哪些動作。若要了解如何建立身分型政策,請參閱《*IAM 使用者指南*》中的[建立 IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
身分型政策可進一步分類成*內嵌政策*或*受管政策*。內嵌政策會直接嵌入單一使用者、群組或角色。受管政策是獨立的政策,您可以連接到 中的多個使用者、群組和角色 AWS 帳戶。受管政策包括 AWS 受管政策和客戶受管政策。如需了解如何在受管政策及內嵌政策間選擇,請參閱 *IAM 使用者指南*中的[在受管政策和內嵌政策間選擇](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#choosing-managed-or-inline)。
### 資源型政策
資源型政策是附加到資源的 JSON 政策文件。以資源為基礎的政策的範例是 IAM *角色信任政策*和 Amazon S3 *儲存貯體政策*。在支援資源型政策的服務中,服務管理員可以使用它們來控制對特定資源的存取權限。對於附加政策的資源,政策會定義指定的主體可以對該資源執行的動作以及在何種條件下執行的動作。您必須在資源型政策中[指定主體](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。委託人可以包含帳戶、使用者、角色、聯合身分使用者或 AWS 服務。
資源型政策是位於該服務中的內嵌政策。您無法在資源型政策 IAM 中使用來自 的 AWS 受管政策。
### 存取控制清單 (ACL)
存取控制清單 (ACL) 可控制哪些主體 (帳戶成員、使用者或角色) 擁有存取某資源的許可。ACL 類似於資源型政策,但它們不使用 JSON 政策文件格式。
Amazon S3 AWS WAF、 和 Amazon VPC 是支援 ACLs的服務範例。若要進一步了解 ACLs,請參閱《*Amazon Simple Storage Service 使用者指南*》中的[存取控制清單 (ACL) 概觀](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html)。
### 其他政策類型
AWS 支援其他較不常見的政策類型。這些政策類型可設定較常見政策類型授予您的最大許可。
+ **許可界限** - 許可界限是一種進階功能,您可以在其中設定身分型政策可授予 IAM 實體 (IAM 使用者 或角色) 的最大許可。您可以為實體設定許可界限。所產生的許可會是實體的身分型政策和其許可界限的交集。會在 `Principal` 欄位中指定使用者或角色的資源型政策則不會受到許可界限限制。任何這些政策中的明確拒絕都會覆寫允許。如需許可界限的詳細資訊,請參閱《*IAM 使用者指南*》中的[IAM 實體的許可界限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)。
+ **服務控制政策 (SCPs)** - SCPs是 JSON 政策,可指定 中組織或組織單位 (OU) 的最大許可 AWS Organizations。 AWS Organizations 是一種服務,用於分組和集中管理您企業擁有 AWS 帳戶 的多個 。若您啟用組織中的所有功能,您可以將服務控制政策 (SCP) 套用到任何或所有帳戶。SCP 會限制成員帳戶中實體的許可,包括每個 AWS 帳戶 根使用者。如需 Organizations 和 SCPs的詳細資訊,請參閱* AWS Organizations 《 使用者指南*》中的[服務控制政策 (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。
+ **工作階段政策** - 工作階段政策是一種進階政策,您可以在透過編寫程式的方式建立角色或聯合身分使用者的暫時工作階段時,做為參數傳遞。所產生工作階段的許可會是使用者或角色的身分型政策和工作階段政策的交集。許可也可以來自資源型政策。所有這類政策中的明確拒絕都會覆寫該允許。如需詳細資訊,請參《*IAM 使用者指南*》中的[工作階段政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)。
### 多種政策類型
當多種類型的政策適用於請求時,產生的許可會更複雜而無法理解。若要了解如何 AWS 在涉及多種政策類型時決定是否允許請求,請參閱《*IAM 使用者指南*》中的[政策評估邏輯](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)。
# ROSA 身分型政策範例
根據預設, IAM 使用者 和 角色沒有建立或修改 AWS 資源的許可。他們也無法使用 AWS 管理主控台 AWS CLI或 AWS API 執行任務。 IAM 管理員必須建立 IAM 政策,授予使用者和角色對所需指定資源執行特定 API 操作的許可。然後,管理員必須將這些政策連接到需要這些許可的 IAM 使用者 或 群組。
若要了解如何使用這些範例 JSON 政策文件建立 IAM 身分型政策,請參閱《*IAM 使用者指南*》中的[在 JSON 標籤上建立政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor)。
## 使用 ROSA 主控台
若要 ROSA 從 主控台訂閱 ,您的 IAM 主體必須具有必要的 AWS Marketplace 許可。許可允許主體訂閱和取消訂閱 中的 ROSA 產品清單 AWS Marketplace ,並檢視 AWS Marketplace 訂閱。若要新增必要的許可,請前往 [ROSA 主控台](https://console.aws.amazon.com/rosa),並將 AWS 受管政策連接至`ROSAManageSubscription`您的 IAM 主體。如需 `ROSAManageSubscription` 的相關資訊,請參閱 [AWS 受管政策:ROSAManageSubscription](security-iam-awsmanpol.md#security-iam-awsmanpol-rosamanagesubscription)。
## 授權 ROSA 與 HCP 管理 AWS 資源
具有託管控制平面 (HCP) 的 ROSA 使用具有服務操作和支援所需許可的 AWS 受管政策。您可以使用 ROSA CLI 或 IAM 主控台將這些政策連接到 中的服務角色 AWS 帳戶。
如需詳細資訊,請參閱[AWS 的 受管政策 ROSA](security-iam-awsmanpol.md)。
## 授權 ROSA classic 來管理 AWS 資源
ROSA classic 使用客戶受管 IAM 政策,具有 服務預先定義的許可。您可以使用 ROSA CLI 來建立這些政策,並將其連接到您 中的服務角色 AWS 帳戶。 ROSA 需要這些政策按照服務的定義進行設定,以確保持續操作和服務支援。
**注意**
若未先諮詢 Red Hat,您不應更改 ROSA 傳統政策。這樣做可能會使 Red Hat 的 99.95% 叢集運作時間服務層級協議失效。具有託管控制平面的 ROSA 使用具有更有限許可集的 AWS 受管政策。如需詳細資訊,請參閱[AWS 的 受管政策 ROSA](security-iam-awsmanpol.md)。
有兩種類型的客戶受管政策 ROSA:帳戶政策和運算子政策。帳戶政策會連接到 服務用來與 Red Hat 建立信任關係 IAM 的角色,以進行網站可靠性工程師 (SRE) 支援、叢集建立和運算功能。運算子政策會連接到 OpenShift 運算子用於與輸入、儲存、映像登錄檔和節點管理相關的叢集操作 IAM 的角色。每個帳戶政策建立一次 AWS 帳戶,而每個叢集建立一次運算子政策。
如需詳細資訊,請參閱[ROSA 傳統帳戶政策](security-iam-rosa-classic-account-policies.md)及[ROSA 傳統運算子政策](security-iam-rosa-classic-operator-policies.md)。
## 允許使用者檢視他們自己的許可
此範例示範如何建立政策, IAM 使用者 允許 檢視連接至其使用者身分的內嵌和受管政策。此政策包含在主控台或使用 以程式設計方式完成此動作的許可 AWS CLI。
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Effect": "Allow",
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
# ROSA 傳統帳戶政策
本節提供 ROSA classic 所需的帳戶政策詳細資訊。ROSA classic 需要這些許可,才能管理叢集執行的資源 AWS ,並啟用叢集的 Red Hat 網站可靠性工程師支援。您可以指派自訂字首給政策名稱,但這些政策應如此頁面所定義命名 (例如 `ManagedOpenShift-Installer-Role-Policy`)。
帳戶政策專屬於 OpenShift 次要發行版本,且可回溯相容。在建立或升級叢集之前,您應該執行 來驗證政策版本和叢集版本是否相同`rosa list account-roles`。如果政策版本低於叢集版本,請執行 `rosa upgrade account-roles`以升級角色和連接的政策。您可以針對相同次要發行版本的多個叢集使用相同的帳戶政策和角色。
## 【字首】-Installer-Role-Policy
您可以將 `[Prefix]-Installer-Role-Policy` 連接到 IAM 實體。您必須先將此政策連接至名為 的 IAM 角色,才能建立 ROSA 傳統叢集`[Prefix]-Installer-Role`。此政策會授予必要的許可,允許 ROSA 安裝程式管理建立叢集所需的 AWS 資源。
### 許可政策
此政策文件中定義的許可會指定允許或拒絕哪些動作。
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"autoscaling:DescribeAutoScalingGroups",
"ec2:AllocateAddress",
"ec2:AssociateAddress",
"ec2:AssociateDhcpOptions",
"ec2:AssociateRouteTable",
"ec2:AttachInternetGateway",
"ec2:AttachNetworkInterface",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CopyImage",
"ec2:CreateDhcpOptions",
"ec2:CreateInternetGateway",
"ec2:CreateNatGateway",
"ec2:CreateNetworkInterface",
"ec2:CreateRoute",
"ec2:CreateRouteTable",
"ec2:CreateSecurityGroup",
"ec2:CreateSubnet",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:CreateVpc",
"ec2:CreateVpcEndpoint",
"ec2:DeleteDhcpOptions",
"ec2:DeleteInternetGateway",
"ec2:DeleteNatGateway",
"ec2:DeleteNetworkInterface",
"ec2:DeleteRoute",
"ec2:DeleteRouteTable",
"ec2:DeleteSecurityGroup",
"ec2:DeleteSnapshot",
"ec2:DeleteSubnet",
"ec2:DeleteTags",
"ec2:DeleteVolume",
"ec2:DeleteVpc",
"ec2:DeleteVpcEndpoints",
"ec2:DeregisterImage",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAddresses",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeDhcpOptions",
"ec2:DescribeImages",
"ec2:DescribeInstanceAttribute",
"ec2:DescribeInstanceCreditSpecifications",
"ec2:DescribeInstances",
"ec2:DescribeInstanceStatus",
"ec2:DescribeInstanceTypeOfferings",
"ec2:DescribeInstanceTypes",
"ec2:DescribeInternetGateways",
"ec2:DescribeKeyPairs",
"ec2:DescribeNatGateways",
"ec2:DescribeNetworkAcls",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribePrefixLists",
"ec2:DescribeRegions",
"ec2:DescribeReservedInstancesOfferings",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSecurityGroupRules",
"ec2:DescribeSubnets",
"ec2:DescribeTags",
"ec2:DescribeVolumes",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcClassicLink",
"ec2:DescribeVpcClassicLinkDnsSupport",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcs",
"ec2:DetachInternetGateway",
"ec2:DisassociateRouteTable",
"ec2:GetConsoleOutput",
"ec2:GetEbsDefaultKmsKeyId",
"ec2:ModifyInstanceAttribute",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:ModifySubnetAttribute",
"ec2:ModifyVpcAttribute",
"ec2:ReleaseAddress",
"ec2:ReplaceRouteTableAssociation",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:RunInstances",
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:TerminateInstances",
"elasticloadbalancing:AddTags",
"elasticloadbalancing:ApplySecurityGroupsToLoadBalancer",
"elasticloadbalancing:AttachLoadBalancerToSubnets",
"elasticloadbalancing:ConfigureHealthCheck",
"elasticloadbalancing:CreateListener",
"elasticloadbalancing:CreateLoadBalancer",
"elasticloadbalancing:CreateLoadBalancerListeners",
"elasticloadbalancing:CreateTargetGroup",
"elasticloadbalancing:DeleteLoadBalancer",
"elasticloadbalancing:DeleteTargetGroup",
"elasticloadbalancing:DeregisterInstancesFromLoadBalancer",
"elasticloadbalancing:DeregisterTargets",
"elasticloadbalancing:DescribeAccountLimits",
"elasticloadbalancing:DescribeInstanceHealth",
"elasticloadbalancing:DescribeListeners",
"elasticloadbalancing:DescribeLoadBalancerAttributes",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeTags",
"elasticloadbalancing:DescribeTargetGroupAttributes",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeTargetHealth",
"elasticloadbalancing:ModifyLoadBalancerAttributes",
"elasticloadbalancing:ModifyTargetGroup",
"elasticloadbalancing:ModifyTargetGroupAttributes",
"elasticloadbalancing:RegisterInstancesWithLoadBalancer",
"elasticloadbalancing:RegisterTargets",
"elasticloadbalancing:SetLoadBalancerPoliciesOfListener",
"iam:AddRoleToInstanceProfile",
"iam:CreateInstanceProfile",
"iam:DeleteInstanceProfile",
"iam:GetInstanceProfile",
"iam:TagInstanceProfile",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:GetUser",
"iam:ListAttachedRolePolicies",
"iam:ListInstanceProfiles",
"iam:ListInstanceProfilesForRole",
"iam:ListRolePolicies",
"iam:ListRoles",
"iam:ListUserPolicies",
"iam:ListUsers",
"iam:RemoveRoleFromInstanceProfile",
"iam:SimulatePrincipalPolicy",
"iam:TagRole",
"iam:UntagRole",
"route53:ChangeResourceRecordSets",
"route53:ChangeTagsForResource",
"route53:CreateHostedZone",
"route53:DeleteHostedZone",
"route53:GetAccountLimit",
"route53:GetChange",
"route53:GetHostedZone",
"route53:ListHostedZones",
"route53:ListHostedZonesByName",
"route53:ListResourceRecordSets",
"route53:ListTagsForResource",
"route53:UpdateHostedZoneComment",
"s3:CreateBucket",
"s3:DeleteBucket",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:GetAccelerateConfiguration",
"s3:GetBucketAcl",
"s3:GetBucketCORS",
"s3:GetBucketLocation",
"s3:GetBucketLogging",
"s3:GetBucketObjectLockConfiguration",
"s3:GetBucketPolicy",
"s3:GetReplicationConfiguration",
"s3:GetBucketRequestPayment",
"s3:GetBucketTagging",
"s3:GetBucketVersioning",
"s3:GetBucketWebsite",
"s3:GetEncryptionConfiguration",
"s3:GetLifecycleConfiguration",
"s3:GetObject",
"s3:GetObjectAcl",
"s3:GetObjectTagging",
"s3:GetObjectVersion",
"s3:GetReplicationConfiguration",
"s3:ListBucket",
"s3:ListBucketVersions",
"s3:PutBucketAcl",
"s3:PutBucketTagging",
"s3:PutBucketVersioning",
"s3:PutEncryptionConfiguration",
"s3:PutObject",
"s3:PutObjectAcl",
"s3:PutObjectTagging",
"servicequotas:GetServiceQuota",
"servicequotas:ListAWSDefaultServiceQuotas",
"sts:AssumeRole",
"sts:AssumeRoleWithWebIdentity",
"sts:GetCallerIdentity",
"tag:GetResources",
"tag:UntagResources",
"ec2:CreateVpcEndpointServiceConfiguration",
"ec2:DeleteVpcEndpointServiceConfigurations",
"ec2:DescribeVpcEndpointServiceConfigurations",
"ec2:DescribeVpcEndpointServicePermissions",
"ec2:DescribeVpcEndpointServices",
"ec2:ModifyVpcEndpointServicePermissions",
"kms:DescribeKey",
"cloudwatch:GetMetricData"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"secretsmanager:GetSecretValue"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/red-hat-managed": "true"
}
}
}
]
}
```
## 【字首】-ControlPlane-Role-Policy
您可以將 `[Prefix]-ControlPlane-Role-Policy` 連接到 IAM 實體。您必須先將此政策連接至名為 的 IAM 角色,才能建立 ROSA 傳統叢集`[Prefix]-ControlPlane-Role`。此政策會將必要的許可授予 ROSA classic,以管理託管 ROSA 控制平面的 Amazon EC2 和 Elastic Load Balancing 資源,以及讀取 KMS keys。
### 許可政策
此政策文件中定義的許可會指定允許或拒絕哪些動作。
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ec2:AttachVolume",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:DeleteSecurityGroup",
"ec2:DeleteVolume",
"ec2:Describe*",
"ec2:DetachVolume",
"ec2:ModifyInstanceAttribute",
"ec2:ModifyVolume",
"ec2:RevokeSecurityGroupIngress",
"elasticloadbalancing:AddTags",
"elasticloadbalancing:AttachLoadBalancerToSubnets",
"elasticloadbalancing:ApplySecurityGroupsToLoadBalancer",
"elasticloadbalancing:CreateListener",
"elasticloadbalancing:CreateLoadBalancer",
"elasticloadbalancing:CreateLoadBalancerPolicy",
"elasticloadbalancing:CreateLoadBalancerListeners",
"elasticloadbalancing:CreateTargetGroup",
"elasticloadbalancing:ConfigureHealthCheck",
"elasticloadbalancing:DeleteListener",
"elasticloadbalancing:DeleteLoadBalancer",
"elasticloadbalancing:DeleteLoadBalancerListeners",
"elasticloadbalancing:DeleteTargetGroup",
"elasticloadbalancing:DeregisterInstancesFromLoadBalancer",
"elasticloadbalancing:DeregisterTargets",
"elasticloadbalancing:Describe*",
"elasticloadbalancing:DetachLoadBalancerFromSubnets",
"elasticloadbalancing:ModifyListener",
"elasticloadbalancing:ModifyLoadBalancerAttributes",
"elasticloadbalancing:ModifyTargetGroup",
"elasticloadbalancing:ModifyTargetGroupAttributes",
"elasticloadbalancing:RegisterInstancesWithLoadBalancer",
"elasticloadbalancing:RegisterTargets",
"elasticloadbalancing:SetLoadBalancerPoliciesForBackendServer",
"elasticloadbalancing:SetLoadBalancerPoliciesOfListener",
"kms:DescribeKey"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
## 【字首】-Worker-Role-Policy
您可以將 `[Prefix]-Worker-Role-Policy` 連接到 IAM 實體。您必須先將此政策連接至名為 的 IAM 角色,才能建立 ROSA 傳統叢集`[Prefix]-Worker-Role`。此政策會將必要的許可授予 ROSA classic,以描述做為工作者節點執行的 EC2 執行個體。
### 許可政策
此政策文件中定義的許可會指定允許或拒絕哪些動作。
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeRegions"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
## 【字首】-Support-Role-Policy
您可以將 `[Prefix]-Support-Role-Policy` 連接到 IAM 實體。您必須先將此政策連接至名為 的 IAM 角色,才能建立 ROSA 傳統叢集`[Prefix]-Support-Role`。此政策授予 Red Hat 網站可靠性工程所需的許可,以觀察、診斷和支援 ROSA 傳統叢集使用 AWS 的資源,包括變更叢集節點狀態的能力。
### 許可政策
此政策文件中定義的許可會指定允許或拒絕哪些動作。
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"cloudtrail:DescribeTrails",
"cloudtrail:LookupEvents",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"ec2-instance-connect:SendSerialConsoleSSHPublicKey",
"ec2:CopySnapshot",
"ec2:CreateNetworkInsightsPath",
"ec2:CreateSnapshot",
"ec2:CreateSnapshots",
"ec2:CreateTags",
"ec2:DeleteNetworkInsightsAnalysis",
"ec2:DeleteNetworkInsightsPath",
"ec2:DeleteTags",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAddresses",
"ec2:DescribeAddressesAttribute",
"ec2:DescribeAggregateIdFormat",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeByoipCidrs",
"ec2:DescribeCapacityReservations",
"ec2:DescribeCarrierGateways",
"ec2:DescribeClassicLinkInstances",
"ec2:DescribeClientVpnAuthorizationRules",
"ec2:DescribeClientVpnConnections",
"ec2:DescribeClientVpnEndpoints",
"ec2:DescribeClientVpnRoutes",
"ec2:DescribeClientVpnTargetNetworks",
"ec2:DescribeCoipPools",
"ec2:DescribeCustomerGateways",
"ec2:DescribeDhcpOptions",
"ec2:DescribeEgressOnlyInternetGateways",
"ec2:DescribeIamInstanceProfileAssociations",
"ec2:DescribeIdentityIdFormat",
"ec2:DescribeIdFormat",
"ec2:DescribeImageAttribute",
"ec2:DescribeImages",
"ec2:DescribeInstanceAttribute",
"ec2:DescribeInstances",
"ec2:DescribeInstanceStatus",
"ec2:DescribeInstanceTypeOfferings",
"ec2:DescribeInstanceTypes",
"ec2:DescribeInternetGateways",
"ec2:DescribeIpv6Pools",
"ec2:DescribeKeyPairs",
"ec2:DescribeLaunchTemplates",
"ec2:DescribeLocalGatewayRouteTables",
"ec2:DescribeLocalGatewayRouteTableVirtualInterfaceGroupAssociations",
"ec2:DescribeLocalGatewayRouteTableVpcAssociations",
"ec2:DescribeLocalGateways",
"ec2:DescribeLocalGatewayVirtualInterfaceGroups",
"ec2:DescribeLocalGatewayVirtualInterfaces",
"ec2:DescribeManagedPrefixLists",
"ec2:DescribeNatGateways",
"ec2:DescribeNetworkAcls",
"ec2:DescribeNetworkInsightsAnalyses",
"ec2:DescribeNetworkInsightsPaths",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribePlacementGroups",
"ec2:DescribePrefixLists",
"ec2:DescribePrincipalIdFormat",
"ec2:DescribePublicIpv4Pools",
"ec2:DescribeRegions",
"ec2:DescribeReservedInstances",
"ec2:DescribeRouteTables",
"ec2:DescribeScheduledInstances",
"ec2:DescribeSecurityGroupReferences",
"ec2:DescribeSecurityGroupRules",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSnapshotAttribute",
"ec2:DescribeSnapshots",
"ec2:DescribeSpotFleetInstances",
"ec2:DescribeStaleSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeTags",
"ec2:DescribeTransitGatewayAttachments",
"ec2:DescribeTransitGatewayConnectPeers",
"ec2:DescribeTransitGatewayConnects",
"ec2:DescribeTransitGatewayMulticastDomains",
"ec2:DescribeTransitGatewayPeeringAttachments",
"ec2:DescribeTransitGatewayRouteTables",
"ec2:DescribeTransitGateways",
"ec2:DescribeTransitGatewayVpcAttachments",
"ec2:DescribeVolumeAttribute",
"ec2:DescribeVolumes",
"ec2:DescribeVolumesModifications",
"ec2:DescribeVolumeStatus",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcClassicLink",
"ec2:DescribeVpcClassicLinkDnsSupport",
"ec2:DescribeVpcEndpointConnectionNotifications",
"ec2:DescribeVpcEndpointConnections",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcEndpointServiceConfigurations",
"ec2:DescribeVpcEndpointServicePermissions",
"ec2:DescribeVpcEndpointServices",
"ec2:DescribeVpcPeeringConnections",
"ec2:DescribeVpcs",
"ec2:DescribeVpnConnections",
"ec2:DescribeVpnGateways",
"ec2:GetAssociatedIpv6PoolCidrs",
"ec2:GetConsoleOutput",
"ec2:GetManagedPrefixListEntries",
"ec2:GetSerialConsoleAccessStatus",
"ec2:GetTransitGatewayAttachmentPropagations",
"ec2:GetTransitGatewayMulticastDomainAssociations",
"ec2:GetTransitGatewayPrefixListReferences",
"ec2:GetTransitGatewayRouteTableAssociations",
"ec2:GetTransitGatewayRouteTablePropagations",
"ec2:ModifyInstanceAttribute",
"ec2:RebootInstances",
"ec2:RunInstances",
"ec2:SearchLocalGatewayRoutes",
"ec2:SearchTransitGatewayMulticastGroups",
"ec2:SearchTransitGatewayRoutes",
"ec2:StartInstances",
"ec2:StartNetworkInsightsAnalysis",
"ec2:StopInstances",
"ec2:TerminateInstances",
"elasticloadbalancing:ConfigureHealthCheck",
"elasticloadbalancing:DescribeAccountLimits",
"elasticloadbalancing:DescribeInstanceHealth",
"elasticloadbalancing:DescribeListenerCertificates",
"elasticloadbalancing:DescribeListeners",
"elasticloadbalancing:DescribeLoadBalancerAttributes",
"elasticloadbalancing:DescribeLoadBalancerPolicies",
"elasticloadbalancing:DescribeLoadBalancerPolicyTypes",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeRules",
"elasticloadbalancing:DescribeSSLPolicies",
"elasticloadbalancing:DescribeTags",
"elasticloadbalancing:DescribeTargetGroupAttributes",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeTargetHealth",
"iam:GetRole",
"iam:ListRoles",
"kms:CreateGrant",
"route53:GetHostedZone",
"route53:GetHostedZoneCount",
"route53:ListHostedZones",
"route53:ListHostedZonesByName",
"route53:ListResourceRecordSets",
"s3:GetBucketTagging",
"s3:GetObjectAcl",
"s3:GetObjectTagging",
"s3:ListAllMyBuckets",
"sts:DecodeAuthorizationMessage",
"tiros:CreateQuery",
"tiros:GetQueryAnswer",
"tiros:GetQueryExplanation"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"s3:ListBucket"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::managed-velero*",
"arn:aws:s3:::*image-registry*"
]
}
]
}
```
# ROSA 傳統運算子政策
本節提供 ROSA 傳統所需的運算子政策詳細資訊。您必須先將這些政策連接到相關的運算子角色,才能建立 ROSA 傳統叢集。每個叢集都需要一組唯一的運算子角色。
需要這些許可才能允許 OpenShift 運算子管理 ROSA 傳統叢集節點。您可以將自訂字首指派給政策名稱,以簡化政策管理 (例如 `ManagedOpenShift-openshift-ingress-operator-cloud-credentials`)。
## 【字首】-openshift-ingress-operator-cloud-credentials
您可以將 `[Prefix]-openshift-ingress-operator-cloud-credentials` 連接到 IAM 實體。此政策會將必要的許可授予輸入運算子,以佈建和管理負載平衡器和 DNS 組態以進行外部叢集存取。此政策也允許輸入運算子讀取和篩選 Route 53 資源標籤值,以探索託管區域。如需 運算子的詳細資訊,請參閱 [OpenShift GitHub 文件中的 OpenShift 傳入運算](https://github.com/openshift/cluster-ingress-operator)子。 OpenShift GitHub
### 許可政策
此政策文件中定義的許可會指定允許或拒絕哪些動作。
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"elasticloadbalancing:DescribeLoadBalancers",
"route53:ListHostedZones",
"route53:ListTagsForResources",
"route53:ChangeResourceRecordSets",
"tag:GetResources"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
## 【字首】-openshift-cluster-csi-drivers-ebs-cloud-credentials
您可以將 `[Prefix]-openshift-cluster-csi-drivers-ebs-cloud-credentials` 連接到 IAM 實體。此政策授予 Amazon EBS CSI Driver Operator 在 ROSA 傳統叢集上安裝和維護 Amazon EBS CSI 驅動程式所需的許可。如需 運算子的詳細資訊,請參閱 OpenShift GitHub 文件中的 [aws-ebs-csi-driver-operator](https://github.com/openshift/aws-ebs-csi-driver-operator#aws-ebs-csi-driver-operator)。
### 許可政策
此政策文件中定義的許可會指定允許或拒絕哪些動作。
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ec2:AttachVolume",
"ec2:CreateSnapshot",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:DeleteSnapshot",
"ec2:DeleteTags",
"ec2:DeleteVolume",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeInstances",
"ec2:DescribeSnapshots",
"ec2:DescribeTags",
"ec2:DescribeVolumes",
"ec2:DescribeVolumesModifications",
"ec2:DetachVolume",
"ec2:EnableFastSnapshotRestores",
"ec2:ModifyVolume"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
## 【字首】-openshift-machine-api-aws-cloud-credentials
您可以將 `[Prefix]-openshift-machine-api-aws-cloud-credentials` 連接到 IAM 實體。此政策會將必要的許可授予 Machine Config Operator,以描述、執行和終止以工作者節點管理的 Amazon EC2 執行個體。此政策也授予許可,允許使用 對工作者節點根磁碟區進行磁碟加密 AWS KMS keys。如需 運算子的詳細資訊,請參閱 OpenShift GitHub 文件中的 [machine-config-operator](https://github.com/openshift/machine-config-operator)。
### 許可政策
此政策文件中定義的許可會指定允許或拒絕哪些動作。
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ec2:CreateTags",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeDhcpOptions",
"ec2:DescribeImages",
"ec2:DescribeInstances",
"ec2:DescribeInternetGateways",
"ec2:DescribeInstanceTypes",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRegions",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:RunInstances",
"ec2:TerminateInstances",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeTargetHealth",
"elasticloadbalancing:RegisterInstancesWithLoadBalancer",
"elasticloadbalancing:RegisterTargets",
"elasticloadbalancing:DeregisterTargets",
"iam:CreateServiceLinkedRole"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKey",
"kms:GenerateDataKeyWithoutPlainText",
"kms:DescribeKey"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"kms:RevokeGrant",
"kms:CreateGrant",
"kms:ListGrants"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
}
]
}
```
## 【字首】-openshift-cloud-credential-operator-cloud-credentials
您可以將 `[Prefix]-openshift-cloud-credential-operator-cloud-credentials` 連接到 IAM 實體。此政策授予 Cloud Credential Operator 擷取 IAM 使用者 詳細資訊的必要許可,包括存取金鑰 IDs、連接的內嵌政策文件、使用者的建立日期、路徑、使用者 ID 和 Amazon Resource Name (ARN)。如需 運算子的詳細資訊,請參閱 OpenShift GitHub 文件中的 [cloud-credential-operator](https://github.com/openshift/cloud-credential-operator)。
### 許可政策
此政策文件中定義的許可會指定允許或拒絕哪些動作。
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iam:GetUser",
"iam:GetUserPolicy",
"iam:ListAccessKeys"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
## 【字首】-openshift-image-registry-installer-cloud-credentials
您可以將 `[Prefix]-openshift-image-registry-installer-cloud-credentials` 連接到 IAM 實體。此政策會將必要的許可授予映像登錄運算子,以佈建和管理 ROSA Classic 叢集內映像登錄檔和相依服務的資源,包括 Amazon S3。這是必要的,以便運算子可以安裝和維護 ROSA 傳統叢集的內部登錄檔。如需 運算子的詳細資訊,請參閱 OpenShift GitHub 文件中的[映像登錄運算子](https://github.com/openshift/cluster-image-registry-operator#image-registry-operator)。
### 許可政策
此政策文件中定義的許可會指定允許或拒絕哪些動作。
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"s3:CreateBucket",
"s3:DeleteBucket",
"s3:PutBucketTagging",
"s3:GetBucketTagging",
"s3:PutBucketPublicAccessBlock",
"s3:GetBucketPublicAccessBlock",
"s3:PutEncryptionConfiguration",
"s3:GetEncryptionConfiguration",
"s3:PutLifecycleConfiguration",
"s3:GetLifecycleConfiguration",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:ListBucketMultipartUploads",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
## 【字首】-openshift-cloud-network-config-controller-cloud-cr
您可以將 `[Prefix]-openshift-cloud-network-config-controller-cloud-cr` 連接到 IAM 實體。此政策會將必要的許可授予 Cloud Network Config Controller Operator,以佈建和管理供 ROSA 傳統叢集聯網浮水印使用的聯網資源。運算子使用這些許可來管理 Amazon EC2 執行個體的私有 IP 地址,做為 ROSA 傳統叢集的一部分。如需 運算子的詳細資訊,請參閱 OpenShift GitHub 文件中的 [Cloud-network-config-controller](https://github.com/openshift/cloud-network-config-controller#cloud-network-config-controller-cncc)。
### 許可政策
此政策文件中定義的許可會指定允許或拒絕哪些動作。
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeInstanceStatus",
"ec2:DescribeInstanceTypes",
"ec2:UnassignPrivateIpAddresses",
"ec2:AssignPrivateIpAddresses",
"ec2:UnassignIpv6Addresses",
"ec2:AssignIpv6Addresses",
"ec2:DescribeSubnets",
"ec2:DescribeNetworkInterfaces"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
# AWS 的 受管政策 ROSA
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies),以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新 AWS 受管政策中定義的許可,則更新會影響政策連接的所有主體身分 (使用者、群組和角色)。當新的 AWS 服務 啟動或新的 API 操作可供現有服務使用時, AWS 最有可能更新 AWS 受管政策。如需詳細資訊,請參閱* IAM 《 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## AWS 受管政策:ROSAManageSubscription
您可以將`ROSAManageSubscription`政策連接至 IAM 實體。在 ROSA 主控台 ROSA 中 AWS 啟用 之前,您必須先將此政策連接至 IAM 角色。
此政策會授予您管理 ROSA 訂閱所需的 AWS Marketplace 許可。
**許可詳細資訊**
此政策包含以下許可。
+ `aws-marketplace:Subscribe` - 准許訂閱 AWS Marketplace 產品 ROSA。
+ `aws-marketplace:Unsubscribe` - 允許主體移除 AWS Marketplace 產品的訂閱。
+ `aws-marketplace:ViewSubscriptions` - 允許主體從中檢視訂閱 AWS Marketplace。這是必要的,以便 IAM 委託人可以檢視可用的 AWS Marketplace 訂閱。
若要檢視完整的 JSON 政策文件,請參閱《 * AWS 受管政策參考指南*》中的 [ROSAManageSubscription](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAManageSubscription.html)。
## 具有 HCP 帳戶政策的 ROSA
本節提供具有託管控制平面 (HCP) 的 ROSA 所需的帳戶政策詳細資訊。這些 AWS 受管政策會新增 ROSA 搭配 HCP IAM 角色使用的許可。Red Hat 網站可靠性工程 (SRE) 技術支援、叢集安裝以及控制平面和運算功能需要 許可。
**注意**
AWS 受管政策旨在供 ROSA 搭配託管控制平面 (HCP) 使用。ROSA 傳統叢集使用客戶受管 IAM 政策。如需 ROSA 傳統政策的詳細資訊,請參閱 [ROSA 傳統帳戶政策](security-iam-rosa-classic-account-policies.md)和 [ROSA 傳統運算子政策](security-iam-rosa-classic-operator-policies.md)。
### AWS 受管政策:ROSAWorkerInstancePolicy
您可以將 `ROSAWorkerInstancePolicy`連接到您的 IAM 實體。在建立叢集之前,您必須連接具有此政策的 IAM 角色。ROSA 服務 AWS 服務 會代表您呼叫其他 。他們會這樣做來管理您用於每個叢集的資源。
**許可詳細資訊**
此政策包含下列許可,允許 ROSA 工作者節點完成下列任務:
+ `ec2` — 在 ROSA 叢集工作者節點生命週期管理中評估 AWS 區域 和 Amazon EC2 執行個體詳細資訊。
+ `ecr` - 評估並從 ROSA 受管 ECR 儲存庫取得叢集安裝和工作者節點生命週期管理所需的映像。
若要檢視完整的 JSON 政策文件,請參閱《 * AWS 受管政策參考指南*》中的 [ROSAWorkerInstancePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAWorkerInstancePolicy.html)。
### AWS 受管政策:ROSASRESupportPolicy
您可以將 `ROSASRESupportPolicy` 連接到 IAM 實體。
使用託管控制平面叢集建立 ROSA 之前,您必須先將此政策連接至 IAM 角色。此政策將必要的許可授予 Red Hat 網站可靠性工程師 (SREs),以直接觀察、診斷和支援與 ROSA 叢集相關聯的 AWS 資源,包括變更 ROSA 叢集節點狀態的能力。
**許可詳細資訊**
此政策包含下列許可,允許 Red Hat SREs完成下列任務:
+ `cloudtrail` — 讀取與叢集相關的 AWS CloudTrail 事件和線索。
+ `cloudwatch` — 讀取與叢集相關的 Amazon CloudWatch 指標。
+ `ec2` — 讀取、描述和檢閱與叢集運作狀態相關的 Amazon EC2 元件,例如安全群組、VPC 端點連線和磁碟區狀態。啟動、停止、重新啟動和終止 Amazon EC2 執行個體。
+ `elasticloadbalancing` — 讀取、描述和檢閱與叢集運作狀態相關的 Elastic Load Balancing 參數。
+ `iam` — 評估與叢集運作狀態相關的 IAM 角色。
+ `route53` — 檢閱與叢集運作狀態相關的 DNS 設定。
+ `sts` — `DecodeAuthorizationMessage` — 讀取 IAM 訊息以進行除錯。
若要檢視完整的 JSON 政策文件,請參閱《 * AWS 受管政策參考指南*》中的 [ROSASRESupportPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSASRESupportPolicy.html)。
### AWS 受管政策:ROSAInstallerPolicy
您可以將 `ROSAInstallerPolicy`連接到您的 IAM 實體。
使用託管控制平面叢集建立 ROSA 之前,您必須先將此政策連接至名為 的 IAM 角色`[Prefix]-ROSA-Worker-Role`。此政策允許實體將遵循 `[Prefix]-ROSA-Worker-Role` 模式的任何角色新增至執行個體描述檔。此政策會將必要的許可授予安裝程式,以管理支援 ROSA 叢集安裝 AWS 的資源。
**許可詳細資訊**
此政策包含下列許可,允許安裝程式完成下列任務:
+ `ec2` — 使用 Red Hat AWS 帳戶 擁有和管理之 中託管AMIs 執行 Amazon EC2 執行個體。描述與 Amazon EC2 節點相關聯的 Amazon EC2 執行個體、磁碟區和網路資源。需要此許可,Kubernetes 控制平面才能將執行個體加入叢集,而且叢集可以評估其中的存在 Amazon VPC。檢查 Amazon EC2 容量保留,以支援 ROSA 中的新容量保留功能。使用符合 的標籤金鑰在子網路上標記和刪除標籤`"kubernetes.io/cluster/*"`。這是必要的,以確保用於叢集傳入的負載平衡器僅在適用的子網路中建立,並管理 Kubernetes 叢集識別標籤。
+ `elasticloadbalancing` — 將負載平衡器新增至叢集上的目標節點。從叢集上的目標節點移除負載平衡器。需要此許可,以便 Kubernetes 控制平面可以動態佈建 Kubernetes 服務和 OpenShift 應用程式服務請求的負載平衡器。
+ `kms` — 讀取 AWS KMS 金鑰、建立和管理授予 Amazon EC2,並傳回唯一的對稱資料金鑰以供 外部使用 AWS KMS。在叢集建立時啟用加密時,這是使用`etcd`加密`etcd`資料的必要項目。
+ `iam` — 驗證 IAM 角色和政策。動態佈建和管理與叢集相關的 Amazon EC2 執行個體描述檔。使用 `iam:TagInstanceProfile`許可將標籤新增至 IAM 執行個體描述檔。當叢集安裝因缺少客戶指定的叢集 OIDC 供應商而失敗時,提供安裝程式錯誤訊息。
+ `route53` — 管理建立叢集所需的 Route 53 資源。
+ `servicequotas` — 評估建立叢集所需的服務配額。
+ `sts` — 建立 ROSA 元件的臨時 AWS STS 登入資料。擔任用於建立叢集的登入資料。
+ `secretsmanager` — 讀取秘密值,以安全地允許客戶受管的 OIDC 組態做為叢集佈建的一部分。
若要檢視完整的 JSON 政策文件,請參閱《 * AWS 受管政策參考指南*》中的 [ROSAInstallerPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAInstallerPolicy.html)。
### AWS 受管政策:ROSASharedVPCRoute53Policy
您可以將 `ROSASharedVPCRoute53Policy`連接到您的 IAM 實體。您必須將此政策連接至 IAM 角色,以允許 ROSA 叢集在共用 VPC AWS 服務 環境中呼叫其他 。
此政策允許 ROSA 安裝程式設定 Route 53 記錄。此政策旨在用於共用 VPC,並提供針對共用 VPC 使用案例量身打造的 Route 53 許可子集。
**許可詳細資訊**
此政策包含下列許可,允許 ROSA 安裝程式完成下列任務:
+ `route53` — 讀取 DNS 區域資訊和現有 DNS 記錄,以了解目前的 DNS 組態。建立、修改和刪除 DNS 記錄,但僅適用於特定 ROSA 相關網域模式,包括 `.hypershift.local`、`.openshiftapps.com`、`.devshift.org`、 `.openshiftusgov.com`和 `.devshiftusgov.com`。新增、修改或移除 Route 53 資源上的標籤,以進行資源管理和組織。
+ `tag` — 根據資源的標籤探索和列出 AWS 資源,這有助於識別由 ROSA 管理的資源。
若要檢視政策的詳細資訊,包括最新版本的 JSON 政策文件,請參閱《 * AWS 受管政策參考指南*》中的 [ROSASharedVPCRoute53Policy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSASharedVPCRoute53Policy.html)。
### AWS 受管政策:ROSASharedVPCEndpointPolicy
您可以將 `ROSASharedVPCEndpointPolicy`連接到您的 IAM 實體。您必須將此政策連接至 IAM 角色,以允許 ROSA 叢集在共用 VPC AWS 服務 環境中呼叫其他 。
此政策允許 ROSA 安裝程式在共用 VPC 環境中設定 VPC 端點和安全群組。
**許可詳細資訊**
此政策包含下列許可,允許 ROSA 安裝程式完成下列任務:
+ `ec2` — 描述 VPC 相關資源的唯讀許可,VPCs 和安全群組,以了解網路環境。建立、刪除和修改具有標籤型限制的安全群組,讓 ROSA 能夠建立和管理叢集聯網的安全群組,同時將操作限制為僅 ROSA 標記的資源。建立、修改和刪除具有標籤型限制的 VPC 端點,允許 ROSA 建立和管理 VPC 端點,以便在共用 VPC AWS 服務 環境中連線至 。在建立期間將標籤套用至新建立的 VPC 端點和安全群組,以進行適當的資源識別和管理。
若要檢視政策的詳細資訊,包括最新版本的 JSON 政策文件,請參閱《 * AWS 受管政策參考指南*》中的 [ROSASharedVPCEndpointPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSASharedVPCEndpointPolicy.html)。
## 具有 HCP 運算子政策的 ROSA
本節提供有關具有託管控制平面 (HCP) 的 ROSA 所需的運算子政策的詳細資訊。您可以將這些 AWS 受管政策連接到搭配 HCP 使用 ROSA 所需的運算子角色。需要許可才能允許 OpenShift 運算子使用 HCP 叢集節點管理 ROSA。
**注意**
AWS 受管政策旨在供 ROSA 搭配託管控制平面 (HCP) 使用。ROSA 傳統叢集使用客戶受管 IAM 政策。如需 ROSA 傳統政策的詳細資訊,請參閱 [ROSA 傳統帳戶政策](security-iam-rosa-classic-account-policies.md)和 [ROSA 傳統運算子政策](security-iam-rosa-classic-operator-policies.md)。
### AWS 受管政策:ROSAAmazonEBSCSIDriverOperatorPolicy
您可以將 `ROSAAmazonEBSCSIDriverOperatorPolicy`連接到您的 IAM 實體。您必須將此政策連接至運算子 IAM 角色,以允許具有託管控制平面叢集的 ROSA 呼叫其他 AWS 服務。每個叢集都需要一組唯一的運算子角色。
此政策會將必要的許可授予 Amazon EBS CSI Driver Operator,以在 ROSA 叢集上安裝和維護 Amazon EBS CSI 驅動程式。如需 運算子的詳細資訊,請參閱 OpenShift GitHub 文件中的 [aws-ebs-csi-driver 運算](https://github.com/openshift/aws-ebs-csi-driver-operator#aws-ebs-csi-driver-operator)子。
**許可詳細資訊**
此政策包含下列許可,允許 Amazon EBS Driver Operator 完成下列任務:
+ `ec2` — 建立、修改、連接、分離和刪除連接到 Amazon EC2 執行個體的 Amazon EBS 磁碟區。建立和刪除 Amazon EBS 磁碟區快照,並列出 Amazon EC2 執行個體、磁碟區和快照。
若要檢視完整的 JSON 政策文件,請參閱《 * AWS 受管政策參考指南*》中的 [ROSAAmazonEBSCSIDriverOperatorPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAAmazonEBSCSIDriverOperatorPolicy.html)。
### AWS 受管政策:ROSAIngressOperatorPolicy
您可以將 `ROSAIngressOperatorPolicy`連接到您的 IAM 實體。您必須將此政策連接至運算子 IAM 角色,以允許具有託管控制平面叢集的 ROSA 呼叫其他 AWS 服務。每個叢集都需要一組唯一的運算子角色。
此政策會將必要的許可授予輸入運算子,以佈建和管理 ROSA 叢集的負載平衡器和 DNS 組態。政策允許讀取標籤值。然後,運算子會篩選 Route 53 資源的標籤值,以探索託管區域。如需 運算子的詳細資訊,請參閱 [OpenShift GitHub 文件中的 OpenShift 傳入運算](https://github.com/openshift/cluster-ingress-operator#openshift-ingress-operator)子。 OpenShift GitHub
**許可詳細資訊**
此政策包含下列許可,允許輸入運算子完成下列任務:
+ `elasticloadbalancing` — 描述佈建負載平衡器的狀態。
+ `route53` — 列出 Route 53 託管區域並編輯管理由 ROSA 叢集控制之 DNS 的記錄。
+ `tag` — 使用 `tag:GetResources`許可管理標記的資源。
若要檢視完整的 JSON 政策文件,請參閱《 * AWS 受管政策參考指南*》中的 [ROSAIngressOperatorPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAIngressOperatorPolicy.html)。
### AWS 受管政策:ROSAImageRegistryOperatorPolicy
您可以將 `ROSAImageRegistryOperatorPolicy`連接至您的 IAM 實體。您必須將此政策連接至運算子 IAM 角色,以允許具有託管控制平面叢集的 ROSA 呼叫其他 AWS 服務。每個叢集都需要一組唯一的運算子角色。
此政策會將必要的許可授予映像登錄運算子,以佈建和管理叢集 ROSA 內映像登錄檔和相依服務的資源,包括 S3。這是必要的,以便運算子可以安裝和維護 ROSA 叢集的內部登錄檔。如需 運算子的詳細資訊,請參閱 OpenShift GitHub 文件中的[映像登錄運算子](https://github.com/openshift/cluster-image-registry-operator#image-registry-operator)。
**許可詳細資訊**
此政策包含下列許可,允許 Image Registry Operator 完成下列動作:
+ `s3` — 管理和評估 Amazon S3 儲存貯體作為容器映像內容和叢集中繼資料的持久性儲存。
若要檢視完整的 JSON 政策文件,請參閱《 * AWS 受管政策參考指南*》中的 [ROSAImageRegistryOperatorPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAImageRegistryOperatorPolicy.html)。
### AWS 受管政策:ROSACloudNetworkConfigOperatorPolicy
您可以將 `ROSACloudNetworkConfigOperatorPolicy`連接到您的 IAM 實體。您必須將此政策連接至運算子 IAM 角色,以允許具有託管控制平面叢集的 ROSA 呼叫其他 AWS 服務。每個叢集都需要一組唯一的運算子角色。
此政策會將必要的許可授予 Cloud Network Config Controller Operator,以佈建和管理 ROSA 叢集聯網浮水印的聯網資源。運算子使用這些許可來管理 Amazon EC2 執行個體的私有 IP 地址,做為 ROSA 叢集的一部分。如需 運算子的詳細資訊,請參閱 OpenShift GitHub 文件中的 [Cloud-network-config-controller](https://github.com/openshift/cloud-network-config-controller#cloud-network-config-controller-cncc)。
**許可詳細資訊**
此政策包含下列許可,允許 Cloud Network Config Controller Operator 完成下列任務:
+ `ec2` — 讀取、指派和描述 ROSA 叢集中連接 Amazon EC2 執行個體、 Amazon VPC 子網路和彈性網路介面的組態。
若要檢視完整的 JSON 政策文件,請參閱《 * AWS 受管政策參考指南*》中的 [ROSACloudNetworkConfigOperatorPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSACloudNetworkConfigOperatorPolicy.html)。
### AWS 受管政策:ROSAKubeControllerPolicy
您可以將 `ROSAKubeControllerPolicy`連接到您的 IAM 實體。您必須將此政策連接至運算子 IAM 角色,以允許具有託管控制平面叢集的 ROSA 呼叫其他 AWS 服務。每個叢集都需要一組唯一的運算子角色。
此政策會授予 kube 控制器管理所需的許可 Amazon EC2 Elastic Load Balancing,以及具有託管控制平面叢集之 ROSA AWS KMS 的資源。如需此控制器的詳細資訊,請參閱 OpenShift 文件中的[控制器架構](https://hypershift-docs.netlify.app/reference/controller-architecture/)。
**許可詳細資訊**
此政策包含下列許可,允許 kube 控制器完成下列任務:
+ `ec2` — 建立、刪除標籤,並將標籤新增至 Amazon EC2 執行個體安全群組。將傳入規則新增至安全群組。描述可用區域、 Amazon EC2 執行個體、路由表、安全群組、VPCs和子網路。
+ `elasticloadbalancing` — 建立和管理負載平衡器及其政策。建立和管理負載平衡器接聽程式。向目標群組註冊和取消註冊目標,並管理目標群組。向負載平衡器註冊和取消註冊 Amazon EC2 執行個體,並將標籤新增至負載平衡器。
+ `kms` — 擷取 AWS KMS 金鑰的詳細資訊。在叢集建立時啟用加密時,這是使用`etcd`加密`etcd`資料的必要項目。
若要檢視完整的 JSON 政策文件,請參閱《 * AWS 受管政策參考指南*》中的 [ROSAKubeControllerPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAKubeControllerPolicy.html)。
### AWS 受管政策:ROSANodePoolManagementPolicy
您可以將 `ROSANodePoolManagementPolicy`連接到您的 IAM 實體。您必須將此政策連接至運算子 IAM 角色,以允許具有託管控制平面叢集的 ROSA 呼叫其他服務 AWS 。每個叢集都需要一組唯一的運算子角色。
此政策會將必要的許可授予 NodePool 控制器,以描述、執行和終止以工作者節點管理的 Amazon EC2 執行個體。此政策也授予許可,允許使用 AWS KMS 金鑰對工作者節點根磁碟區進行磁碟加密、標記連接至工作者節點的彈性網路介面,以及存取 Amazon EC2 容量預留。如需此控制器的詳細資訊,請參閱 OpenShift 文件中的[控制器架構](https://hypershift-docs.netlify.app/reference/controller-architecture/)。
**許可詳細資訊**
此政策包含下列許可,允許 NodePool 控制器完成下列任務:
+ `ec2` — 使用 Red Hat AWS 帳戶 擁有和管理之 中託管AMIs 執行 Amazon EC2 執行個體。在 ROSA 叢集中管理 EC2 生命週期。動態建立並整合工作者節點與 Elastic Load Balancing、 Amazon VPC Route 53 Amazon EBS、 和 Amazon EC2。存取和描述容量保留,以支援 ROSA 中的容量保留功能。
+ `iam` — Elastic Load Balancing 透過名為 的服務連結角色使用 `AWSServiceRoleForElasticLoadBalancing`。將角色指派給 Amazon EC2 執行個體描述檔。
+ `kms` — 讀取 AWS KMS 金鑰、建立和管理授予 Amazon EC2,並傳回唯一的對稱資料金鑰以供 外部使用 AWS KMS。這是允許工作者節點根磁碟區的磁碟加密的必要項目。
若要檢視完整的 JSON 政策文件,請參閱《 * AWS 受管政策參考指南*》中的 [ROSANodePoolManagementPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSANodePoolManagementPolicy.html)。
### AWS 受管政策:ROSAKMSProviderPolicy
您可以將 `ROSAKMSProviderPolicy`連接到您的 IAM 實體。您必須將此政策連接至運算子 IAM 角色,以允許具有託管控制平面叢集的 ROSA 呼叫其他 AWS 服務。每個叢集都需要一組唯一的運算子角色。
此政策會將必要的許可授予內建 AWS 加密提供者,以管理支援`etcd`資料加密的 AWS KMS 金鑰。此政策允許 Amazon EC2 使用 AWS 加密提供者提供的 KMS 金鑰來加密和解密`etcd`資料。如需此提供者的詳細資訊,請參閱 Kubernetes GitHub 文件中的[AWS 加密提供者](https://github.com/kubernetes-sigs/aws-encryption-provider#aws-encryption-provider)。
**許可詳細資訊**
此政策包含下列許可,允許 AWS 加密提供者完成下列任務:
+ `kms` — 加密、解密和擷取 AWS KMS 金鑰。在叢集建立時啟用加密時,這是使用`etcd`加密`etcd`資料的必要項目。
若要檢視完整的 JSON 政策文件,請參閱《 * AWS 受管政策參考指南*》中的 [ROSAKMSProviderPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAKMSProviderPolicy.html)。
### AWS 受管政策:ROSAControlPlaneOperatorPolicy
您可以將 `ROSAControlPlaneOperatorPolicy`連接到您的 IAM 實體。您必須將此政策連接至運算子 IAM 角色,以允許具有託管控制平面叢集的 ROSA 呼叫其他 AWS 服務。每個叢集都需要一組唯一的運算子角色。
此政策會授予控制平面運算子所需的許可,以使用託管控制平面叢集來管理 ROSA 的 Route 53 Amazon EC2 和資源。如需此運算子的詳細資訊,請參閱 OpenShift 文件中的[控制器架構](https://hypershift-docs.netlify.app/reference/controller-architecture/)。
**許可詳細資訊**
此政策包含下列許可,允許控制平面運算子完成下列任務:
+ `ec2` — 建立和管理 Amazon VPC 端點。
+ `route53` — 列出和變更 Route 53 記錄集,並列出託管區域。
若要檢視完整的 JSON 政策文件,請參閱《 * AWS 受管政策參考指南*》中的 [ROSAControlPlaneOperatorPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAControlPlaneOperatorPolicy.html)。
## ROSA AWS 受管政策的更新
檢視自此服務開始追蹤這些變更 ROSA 以來, AWS 受管政策更新的詳細資訊。如需有關此頁面變更的自動提醒,請訂閱 [文件歷史記錄](doc-history.md) 頁面的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| ROSANodePoolManagementPolicy — 已更新政策 | ROSA 已更新政策,以新增 Amazon EC2 容量保留的資源存取權。此變更可讓 NodePool 控制器存取和描述容量保留,以改善資源管理。如需詳細資訊,請參閱 [AWS 受管政策:ROSANodePoolManagementPolicy](#security-iam-awsmanpol-rosanodepoolmanagementpolicy)。 | 2025 年 9 月 3 日 |
| ROSASharedVPCEndpointPolicy — 新增了新政策 | ROSA 新增了新的政策,允許 ROSA 安裝程式在共用 VPC 環境中設定 VPC 端點和安全群組。此政策提供針對共用 VPC 使用案例量身打造的 EC2 許可子集。如需詳細資訊,請參閱 [AWS 受管政策:ROSASharedVPCEndpointPolicy](#security-iam-awsmanpol-rosasharedvpcendpointpolicy)。 | 2025 年 8 月 7 日 |
| ROSASharedVPCRoute53Policy — 新增的政策 | ROSA 新增了新的政策,以允許 ROSA 安裝程式在共用 VPC 環境中設定 Route 53 記錄。此政策提供針對共用 VPC 使用案例量身打造的 Route 53 許可子集。如需詳細資訊,請參閱 [AWS 受管政策:ROSASharedVPCRoute53Policy](#security-iam-awsmanpol-rosasharedvpcroute53policy)。 | 2025 年 8 月 7 日 |
| ROSAInstallerPolicy — 政策已更新 | ROSA 已更新政策,以允許 ROSA 安裝程式檢查 Amazon EC2 容量保留,以支援 ROSA 中的新容量保留功能。此更新也允許安裝程式使用標籤索引鍵比對來刪除子網路上的標籤`"kubernetes.io/cluster/*"`,以改善 Kubernetes 叢集標籤管理。如需詳細資訊,請參閱 [AWS 受管政策:ROSAInstallerPolicy](#security-iam-awsmanpol-rosainstallerpolicy)。 | 2025 年 8 月 7 日 |
| ROSAImageRegistryOperatorPolicy — 政策已更新 | ROSA 已更新政策,將許可範圍縮小至 S3 儲存貯體資源層級。此變更同時符合 AWS 商業和 GovCloud 區域的 ROSA 儲存需求。如需詳細資訊,請參閱 [AWS 受管政策:ROSAImageRegistryOperatorPolicy](#security-iam-awsmanpol-rosaimageregistryoperatorpolicy)。 | 2025 年 5 月 19 日 |
| ROSANodePoolManagementPolicy — 已更新政策 | ROSA 已更新政策,以允許標記連接到工作者節點的彈性網路界面。如需詳細資訊,請參閱 [AWS 受管政策:ROSANodePoolManagementPolicy](#security-iam-awsmanpol-rosanodepoolmanagementpolicy)。 | 2025 年 5 月 5 日 |
| ROSAImageRegistryOperatorPolicy — 政策已更新 | ROSA 已更新政策,允許 Red Hat OpenShift Image Registry Operator 在 AWS GovCloud 區域中佈建和管理 Amazon S3 儲存貯體和物件,以供 ROSA 叢集內映像登錄使用。此變更符合 AWS GovCloud 區域的 ROSA 儲存需求。如需詳細資訊,請參閱 [AWS 受管政策:ROSAImageRegistryOperatorPolicy](#security-iam-awsmanpol-rosaimageregistryoperatorpolicy)。 | 2025 年 4 月 16 日 |
| ROSAWorkerInstancePolicy — 政策已更新 | ROSA 已更新政策,允許工作者節點評估並從 ROSA 受管 ECR 儲存庫取得叢集安裝和工作者節點生命週期管理所需的映像。如需詳細資訊,請參閱 [AWS 受管政策:ROSAWorkerInstancePolicy](#security-iam-awsmanpol-rosaworkerinstancepolicy)。 | 2025 年 3 月 3 日 |
| ROSANodePoolManagementPolicy — 政策已更新 | ROSA 已更新政策,允許僅在請求包含標籤 時,才在 ec2:RunInstances 呼叫期間類似 EC2 執行個體地標記彈性網路介面`red-hat-managed: true`。這些許可是使用 HCP 4.17 叢集支援 ROSA 的必要許可。如需詳細資訊,請參閱 [AWS 受管政策:ROSANodePoolManagementPolicy](#security-iam-awsmanpol-rosanodepoolmanagementpolicy)。 | 2025 年 2 月 24 日 |
| ROSAAmazonEBSCSIDriverOperatorPolicy — 政策已更新 | ROSA 已更新政策以支援新的 Amazon EBS 快照授權 API。如需詳細資訊,請參閱 [AWS 受管政策:ROSAAmazonEBSCSIDriverOperatorPolicy](#security-iam-awsmanpol-rosaamazonebscsidriveroperatorpolicy)。 | 2025 年 1 月 17 日 |
| ROSANodePoolManagementPolicy — 政策已更新 | ROSA 已更新政策,允許 ROSA 節點集區管理員描述 DHCP 選項集,以設定適當的私有 DNS 名稱。如需詳細資訊,請參閱 [AWS 受管政策:ROSANodePoolManagementPolicy](#security-iam-awsmanpol-rosanodepoolmanagementpolicy)。 | 2024 年 5 月 2 日 |
| ROSAInstallerPolicy — 政策已更新 | ROSA 已更新政策,以允許 ROSA 安裝程式使用符合 的標籤金鑰將標籤新增至子網路`"kubernetes.io/cluster/*"`。如需詳細資訊,請參閱 [AWS 受管政策:ROSAInstallerPolicy](#security-iam-awsmanpol-rosainstallerpolicy)。 | 2024 年 4 月 24 日 |
| ROSASRESupportPolicy — 政策已更新 | ROSA 已更新政策,以允許 SRE 角色擷取已標記為 ROSA 之執行個體描述檔的相關資訊`red-hat-managed`。如需詳細資訊,請參閱 [AWS 受管政策:ROSASRESupportPolicy](#security-iam-awsmanpol-rosasresupportpolicy)。 | 2024 年 4 月 10 日 |
| ROSAInstallerPolicy — 政策已更新 | ROSA 已更新政策,以允許 ROSA 安裝程式驗證 的 AWS 受管政策 ROSA 是否連接到 使用 IAM 的角色 ROSA。此更新還允許安裝程式識別客戶受管政策是否已連接到 ROSA 角色。如需詳細資訊,請參閱 [AWS 受管政策:ROSAInstallerPolicy](#security-iam-awsmanpol-rosainstallerpolicy)。 | 2024 年 4 月 10 日 |
| ROSAInstallerPolicy — 政策已更新 | ROSA 已更新政策,允許服務在叢集安裝因缺少客戶指定的叢集 OIDC 供應商而失敗時提供安裝程式提醒訊息。此更新也允許服務擷取現有的 DNS 名稱伺服器,讓叢集佈建操作具有等冪性。如需詳細資訊,請參閱 [AWS 受管政策:ROSAInstallerPolicy](#security-iam-awsmanpol-rosainstallerpolicy)。 | 2024 年 1 月 26 日 |
| ROSASRESupportPolicy — 政策已更新 | ROSA 已更新政策,以允許服務使用 DescribeSecurityGroups API 在安全群組上執行讀取操作。如需詳細資訊,請參閱 [AWS 受管政策:ROSASRESupportPolicy](#security-iam-awsmanpol-rosasresupportpolicy)。 | 2024 年 1 月 22 日 |
| ROSAImageRegistryOperatorPolicy — 已更新政策 | ROSA 已更新政策,以允許映像登錄運算子對 14 個字元名稱區域中的 Amazon S3 儲存貯體採取動作。如需詳細資訊,請參閱 [AWS 受管政策:ROSAImageRegistryOperatorPolicy](#security-iam-awsmanpol-rosaimageregistryoperatorpolicy)。 | 2023 年 12 月 12 日 |
| ROSAKubeControllerPolicy — 政策已更新 | ROSA 已更新政策,以允許 kube-controller-manager 描述可用區域、 Amazon EC2 執行個體、路由表、安全群組、VPCs和子網路。如需詳細資訊,請參閱 [AWS 受管政策:ROSAKubeControllerPolicy](#security-iam-awsmanpol-rosakubecontrollerpolicy)。 | 2023 年 10 月 16 日 |
| ROSAManageSubscription — 政策已更新 | ROSA 已更新政策,新增具有託管控制平面 ProductId 的 ROSA。如需詳細資訊,請參閱 [AWS 受管政策:ROSAManageSubscription](#security-iam-awsmanpol-rosamanagesubscription)。 | 2023 年 8 月 1 日 |
| ROSAKubeControllerPolicy — 政策已更新 | ROSA 已更新政策,以允許 kube-controller-manager 將 Network Load Balancer 建立為 Kubernetes 服務負載平衡器。Network Load Balancer 提供更大的能力來處理揮發性工作負載,並支援負載平衡器的靜態 IP 地址。如需詳細資訊,請參閱 [AWS 受管政策:ROSAKubeControllerPolicy](#security-iam-awsmanpol-rosakubecontrollerpolicy)。 | 2023 年 7 月 13 日 |
| ROSANodePoolManagementPolicy — 新增政策 | ROSA 新增了新的政策,以允許 NodePool 控制器描述、執行和終止以工作者節點管理的 Amazon EC2 執行個體。此政策也會使用 AWS KMS 金鑰啟用工作者節點根磁碟區的磁碟加密。如需詳細資訊,請參閱 [AWS 受管政策:ROSANodePoolManagementPolicy](#security-iam-awsmanpol-rosanodepoolmanagementpolicy)。 | 2023 年 6 月 8 日 |
| ROSAInstallerPolicy — 新增政策 | ROSA 新增了新的政策,以允許安裝程式管理支援叢集安裝 AWS 的資源。如需詳細資訊,請參閱 [AWS 受管政策:ROSAInstallerPolicy](#security-iam-awsmanpol-rosainstallerpolicy)。 | 2023 年 6 月 6 日 |
| ROSASRESupportPolicy — 新增政策 | ROSA 新增了新的政策,以允許 Red Hat SREs直接觀察、診斷和支援與 ROSA 叢集相關聯的 AWS 資源,包括變更 ROSA 叢集節點狀態的能力。如需詳細資訊,請參閱 [AWS 受管政策:ROSASRESupportPolicy](#security-iam-awsmanpol-rosasresupportpolicy)。 | 2023 年 6 月 1 日 |
| ROSAKMSProviderPolicy — 新增政策 | ROSA 新增了新的政策,以允許內建 AWS 加密提供者管理 AWS KMS 金鑰以支援加密的資料加密。如需詳細資訊,請參閱 [AWS 受管政策:ROSAKMSProviderPolicy](#security-iam-awsmanpol-rosakmsproviderpolicy)。 | 2023 年 4 月 27 日 |
| ROSAKubeControllerPolicy — 新增政策 | ROSA 新增了新的政策,以允許 kube 控制器管理 Elastic Load Balancing Amazon EC2,以及 ROSA 具有託管控制平面叢集之 的 AWS KMS 資源。如需詳細資訊,請參閱 [AWS 受管政策:ROSAKubeControllerPolicy](#security-iam-awsmanpol-rosakubecontrollerpolicy)。 | 2023 年 4 月 27 日 |
| ROSAImageRegistryOperatorPolicy — 新增了新政策 | ROSA 新增了新的政策,以允許映像登錄運算子佈建和管理叢集 ROSA 內映像登錄和相依服務的資源,包括 S3。如需詳細資訊,請參閱 [AWS 受管政策:ROSAImageRegistryOperatorPolicy](#security-iam-awsmanpol-rosaimageregistryoperatorpolicy)。 | 2023 年 4 月 27 日 |
| ROSAControlPlaneOperatorPolicy — 新增政策 | ROSA 新增了新的政策,以允許控制平面運算子 ROSA 使用託管控制平面叢集來管理 的 Route 53 Amazon EC2 和資源。如需詳細資訊,請參閱 [AWS 受管政策:ROSAControlPlaneOperatorPolicy](#security-iam-awsmanpol-rosacontrolplaneoperatorpolicy)。 | 2023 年 4 月 24 日 |
| ROSACloudNetworkConfigOperatorPolicy — 新增政策 | ROSA 新增了新的政策,以允許雲端網路組態控制器運算子佈建和管理 ROSA 叢集聯網浮水印的網路資源。如需詳細資訊,請參閱 [AWS 受管政策:ROSACloudNetworkConfigOperatorPolicy](#security-iam-awsmanpol-rosacloudnetworkconfigoperatorpolicy)。 | 2023 年 4 月 20 日 |
| ROSAIngressOperatorPolicy — 新增政策 | ROSA 新增了新的政策,以允許輸入運算子佈建和管理 ROSA 叢集的負載平衡器和 DNS 組態。如需詳細資訊,請參閱 [AWS 受管政策:ROSAIngressOperatorPolicy](#security-iam-awsmanpol-rosaingressoperatorpolicy)。 | 2023 年 4 月 20 日 |
| ROSAAmazonEBSCSIDriverOperatorPolicy — 新增政策 | ROSA 新增了新的政策,以允許 Amazon EBS CSI Driver Operator 在 ROSA 叢集上安裝和維護 Amazon EBS CSI 驅動程式。如需詳細資訊,請參閱 [AWS 受管政策:ROSAAmazonEBSCSIDriverOperatorPolicy](#security-iam-awsmanpol-rosaamazonebscsidriveroperatorpolicy)。 | 2023 年 4 月 20 日 |
| ROSAWorkerInstancePolicy — 新增的政策 | ROSA 新增了新的政策,以允許服務管理叢集資源。如需詳細資訊,請參閱 [AWS 受管政策:ROSAWorkerInstancePolicy](#security-iam-awsmanpol-rosaworkerinstancepolicy)。 | 2023 年 4 月 20 日 |
| ROSAManageSubscription — 新增的政策 | ROSA 新增了新的政策,以授予管理 ROSA 訂閱所需的 AWS Marketplace 許可。如需詳細資訊,請參閱 [AWS 受管政策:ROSAManageSubscription](#security-iam-awsmanpol-rosamanagesubscription)。 | 2022 年 4 月 11 日 |
| Red Hat OpenShift Service on AWS 開始追蹤變更 | Red Hat OpenShift Service on AWS 已開始追蹤其 AWS 受管政策的變更。 | 2022 年 3 月 2 日 |
# 對 ROSA 身分和存取進行故障診斷
使用以下資訊來協助您診斷和修正使用 ROSA 和 時可能遇到的常見問題 IAM。
## AWS Organizations 服務控制政策拒絕必要的 AWS Marketplace 許可
如果您的 AWS Organizations 服務控制政策 (SCP) 在嘗試啟用時不允許必要的 AWS Marketplace 訂閱許可 ROSA,會發生下列主控台錯誤。
```
An error occurred while enabling ROSA, because a service control policy (SCP) is denying required permissions. Contact your management account administrator, and consult the documentation for troubleshooting.
```
如果您收到此錯誤,則必須聯絡您的管理員尋求協助。您的管理員是管理組織帳戶的人員。請該人員執行下列動作:
1. 設定 SCP 以允許 `aws-marketplace:Subscribe`、 `aws-marketplace:Unsubscribe`和 `aws-marketplace:ViewSubscriptions`許可。如需詳細資訊,請參閱* AWS Organizations 《 使用者指南*》中的[更新 SCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_create.html#update_policy)。
1. ROSA 在組織的管理帳戶中啟用 。
1. 將 ROSA 訂閱分享給組織內需要存取的成員帳戶。如需詳細資訊,請參閱《 * AWS Marketplace 買方指南*》中的[在組織中共用訂閱](https://docs.aws.amazon.com/marketplace/latest/buyerguide/organizations-sharing.html)。
## 使用者或角色沒有必要的 AWS Marketplace 許可
如果您的 IAM 委託人在您嘗試啟用 時沒有必要的 AWS Marketplace 訂閱許可 ROSA,會發生下列主控台錯誤。
```
An error occurred while enabling ROSA, because your user or role does not have the required permissions.
```
若要解決此問題,請遵循這些步驟:
1. 前往 [IAM 主控台](https://console.aws.amazon.com/iam),並將 AWS 受`ROSAManageSubscription`管政策連接至您的 IAM 身分。如需詳細資訊,請參閱《 * AWS 受管政策參考指南*》中的 [ROSAManageSubscription](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAManageSubscription.html)。
1. 請遵循 [啟用 ROSA 和設定 AWS 先決條件](set-up.md#enable-rosa) 中的程序。
如果您沒有在 中檢視或更新許可集的許可, IAM 或是收到錯誤,則必須聯絡管理員尋求協助。要求該人員`ROSAManageSubscription`連接到 IAM 您的身分,並遵循 中的程序[啟用 ROSA 和設定 AWS 先決條件](set-up.md#enable-rosa)。當管理員執行此動作時,它會 ROSA 更新 下所有身分的許可集,以啟用 IAM AWS 帳戶。
## 管理員封鎖的必要 AWS Marketplace 許可
如果您的帳戶管理員封鎖必要的 AWS Marketplace 訂閱許可,當您嘗試啟用 時,會發生下列主控台錯誤 ROSA。
```
An error occurred while enabling ROSA because required permissions have been blocked by an administrator. ROSAManageSubscription includes the permissions required to enable ROSA. Consult the documentation and try again.
```
如果您收到此錯誤,則必須聯絡您的管理員尋求協助。請該人員執行下列動作:
1. 前往 [ROSA 主控台](https://console.aws.amazon.com/rosa),並將 AWS 受`ROSAManageSubscription`管政策連接至您的 IAM 身分。如需詳細資訊,請參閱《 * AWS 受管政策參考指南*》中的 [ROSAManageSubscription](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAManageSubscription.html)。
1. 遵循 中的程序[啟用 ROSA 和設定 AWS 先決條件](set-up.md#enable-rosa)來啟用 ROSA。此程序 ROSA 會透過更新 下所有身分的許可集來啟用 IAM AWS 帳戶。
## 建立負載平衡器時發生錯誤:AccessDenied
如果您尚未建立負載平衡器,`AWSServiceRoleForElasticLoadBalacing`則服務連結角色可能不存在於您的帳戶中。如果您嘗試在帳戶中建立 叢集 沒有 `AWSServiceRoleForElasticLoadBalacing`角色的 , ROSA 會發生下列錯誤。
```
Error creating network Load Balancer: AccessDenied
```
若要解決此問題,請遵循這些步驟:
1. 檢查您的帳戶是否具有 `AWSServiceRoleForElasticLoadBalancing`角色。
```
aws iam get-role --role-name "AWSServiceRoleForElasticLoadBalancing"
```
1. 如果您沒有此角色,請遵循* Elastic Load Balancing 《 使用者指南*》中的建立[服務連結角色中的指示來建立角色](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/elb-service-linked-roles.html)。