Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# ROSA Beispiele für identitätsbasierte Richtlinien
Standardmäßig sind Rollen nicht berechtigt, IAM-Benutzer Ressourcen zu erstellen oder zu ändern AWS . Sie können auch keine Aufgaben mit der AWS-Managementkonsole AWS CLI, oder AWS API ausführen. Ein IAM Administrator muss IAM Richtlinien erstellen, die Benutzern und Rollen die Erlaubnis gewähren, bestimmte API-Operationen mit den angegebenen Ressourcen auszuführen, die sie benötigen. Der Administrator muss diese Richtlinien dann den Gruppen IAM-Benutzer oder Gruppen zuordnen, für die diese Berechtigungen erforderlich sind.
Informationen zum Erstellen einer IAM identitätsbasierten Richtlinie mithilfe dieser Beispieldokumente zu JSON-Richtlinien finden Sie im *IAM-Benutzerhandbuch* unter [Erstellen von Richtlinien auf der Registerkarte JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor).
## Verwenden der Konsole ROSA
Um ROSA von der Konsole aus abonnieren zu können, muss Ihr IAM-Principal über die erforderlichen AWS Marketplace Berechtigungen verfügen. Die Berechtigungen ermöglichen es dem Prinzipal, das ROSA Produktangebot in Abonnements zu abonnieren und abzubestellen AWS Marketplace und AWS Marketplace Abonnements anzusehen. Um die erforderlichen Berechtigungen hinzuzufügen, rufen Sie die [ROSA Konsole](https://console.aws.amazon.com/rosa) auf und hängen Sie die AWS verwaltete Richtlinie `ROSAManageSubscription` an Ihren IAM-Prinzipal an. Mehr über `ROSAManageSubscription` erfahren Sie unter [AWS verwaltete Richtlinie: ROSAManage Abonnement](security-iam-awsmanpol.md#security-iam-awsmanpol-rosamanagesubscription).
## Autorisieren von ROSA mit HCP zur Verwaltung von Ressourcen AWS
ROSA mit Hosted Control Planes (HCP) verwendet AWS verwaltete Richtlinien mit Berechtigungen, die für den Betrieb und Support der Dienste erforderlich sind. Sie verwenden die ROSA CLI oder IAM Konsole, um diese Richtlinien an Servicerollen in Ihrem anzuhängen AWS-Konto.
Weitere Informationen finden Sie unter [AWS verwaltete Richtlinien für ROSA](security-iam-awsmanpol.md).
## Autorisierung von ROSA classic zur Verwaltung von Ressourcen AWS
ROSA classic verwendet vom Kunden verwaltete IAM-Richtlinien mit vom Service vordefinierten Berechtigungen. Sie verwenden die ROSA CLI, um diese Richtlinien zu erstellen und sie an Servicerollen in Ihrem anzuhängen AWS-Konto. ROSA erfordert, dass diese Richtlinien so konfiguriert sind, wie sie vom Service definiert wurden, um einen kontinuierlichen Betrieb und Servicesupport zu gewährleisten.
**Anmerkung**
Sie sollten die Richtlinien von ROSA Classic nicht ändern, ohne vorher Red Hat konsultiert zu haben. Andernfalls kann das Service-Level-Agreement von Red Hat für eine Verfügbarkeit von 99,95% für Cluster unwirksam werden. ROSA mit gehosteten Kontrollebenen verwendet AWS verwaltete Richtlinien mit eingeschränkteren Berechtigungen. Weitere Informationen finden Sie unter [AWS verwaltete Richtlinien für ROSA](security-iam-awsmanpol.md).
Es gibt zwei Arten von vom Kunden verwalteten Richtlinien für ROSA: Kontorichtlinien und Betreiberrichtlinien. Kontorichtlinien sind IAM Rollen zugeordnet, die der Service verwendet, um eine Vertrauensbeziehung mit Red Hat für den Support durch Site Reliability Engineer (SRE), die Clustererstellung und Rechenfunktionen aufzubauen. Operator-Richtlinien sind IAM Rollen zugeordnet, die OpenShift Operatoren für Cluster-Operationen in den Bereichen Ingress, Speicherung, Image-Registry und Node-Management verwenden. Kontorichtlinien werden einmal pro Cluster erstellt AWS-Konto, wohingegen Betreiberrichtlinien einmal pro Cluster erstellt werden.
Weitere Informationen erhalten Sie unter [Klassische Kontorichtlinien von ROSA](security-iam-rosa-classic-account-policies.md) und [Die klassischen ROSA-Betreiberrichtlinien](security-iam-rosa-classic-operator-policies.md).
## Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
Dieses Beispiel zeigt, wie Sie eine Richtlinie erstellen könnten, die es ermöglicht, IAM-Benutzer die internen und verwalteten Richtlinien anzuzeigen, die mit ihrer Benutzeridentität verknüpft sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe von. AWS CLI
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Effect": "Allow",
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
# Klassische Kontorichtlinien von ROSA
Dieser Abschnitt enthält Einzelheiten zu den Kontorichtlinien, die für ROSA classic erforderlich sind. Diese Berechtigungen sind für ROSA classic erforderlich, um die AWS Ressourcen zu verwalten, auf denen Cluster ausgeführt werden, und um den Red Hat Site Reliability Engineer Support für Cluster zu aktivieren. Sie können den Richtliniennamen ein benutzerdefiniertes Präfix zuweisen, aber diese Richtlinien sollten ansonsten wie auf dieser Seite definiert benannt werden (z. B.`ManagedOpenShift-Installer-Role-Policy`).
Die Kontorichtlinien gelten nur für eine OpenShift Nebenversion und sind abwärtskompatibel. Bevor Sie einen Cluster erstellen oder aktualisieren, sollten Sie überprüfen, ob die Richtlinienversion und die Clusterversion identisch sind, indem Sie Folgendes ausführen`rosa list account-roles`. Wenn die Richtlinienversion niedriger als die Clusterversion ist, führen Sie die Ausführung aus, `rosa upgrade account-roles` um die Rollen und die angehängten Richtlinien zu aktualisieren. Sie können dieselben Kontorichtlinien und Rollen für mehrere Cluster derselben Nebenversion verwenden.
## [Präfix] -Installer-Role-Policy
Sie können `[Prefix]-Installer-Role-Policy` an Ihre IAM-Entitäten anhängen. Bevor Sie einen klassischen ROSA-Cluster erstellen können, müssen Sie diese Richtlinie zunächst einer IAM-Rolle mit dem Namen zuordnen. `[Prefix]-Installer-Role` Diese Richtlinie gewährt die erforderlichen Berechtigungen, mit denen das ROSA Installationsprogramm die AWS Ressourcen verwalten kann, die für die Clustererstellung benötigt werden.
### Berechtigungsrichtlinie
Die in diesem Richtliniendokument definierten Berechtigungen geben an, welche Aktionen zulässig oder verweigert werden.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"autoscaling:DescribeAutoScalingGroups",
"ec2:AllocateAddress",
"ec2:AssociateAddress",
"ec2:AssociateDhcpOptions",
"ec2:AssociateRouteTable",
"ec2:AttachInternetGateway",
"ec2:AttachNetworkInterface",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CopyImage",
"ec2:CreateDhcpOptions",
"ec2:CreateInternetGateway",
"ec2:CreateNatGateway",
"ec2:CreateNetworkInterface",
"ec2:CreateRoute",
"ec2:CreateRouteTable",
"ec2:CreateSecurityGroup",
"ec2:CreateSubnet",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:CreateVpc",
"ec2:CreateVpcEndpoint",
"ec2:DeleteDhcpOptions",
"ec2:DeleteInternetGateway",
"ec2:DeleteNatGateway",
"ec2:DeleteNetworkInterface",
"ec2:DeleteRoute",
"ec2:DeleteRouteTable",
"ec2:DeleteSecurityGroup",
"ec2:DeleteSnapshot",
"ec2:DeleteSubnet",
"ec2:DeleteTags",
"ec2:DeleteVolume",
"ec2:DeleteVpc",
"ec2:DeleteVpcEndpoints",
"ec2:DeregisterImage",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAddresses",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeDhcpOptions",
"ec2:DescribeImages",
"ec2:DescribeInstanceAttribute",
"ec2:DescribeInstanceCreditSpecifications",
"ec2:DescribeInstances",
"ec2:DescribeInstanceStatus",
"ec2:DescribeInstanceTypeOfferings",
"ec2:DescribeInstanceTypes",
"ec2:DescribeInternetGateways",
"ec2:DescribeKeyPairs",
"ec2:DescribeNatGateways",
"ec2:DescribeNetworkAcls",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribePrefixLists",
"ec2:DescribeRegions",
"ec2:DescribeReservedInstancesOfferings",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSecurityGroupRules",
"ec2:DescribeSubnets",
"ec2:DescribeTags",
"ec2:DescribeVolumes",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcClassicLink",
"ec2:DescribeVpcClassicLinkDnsSupport",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcs",
"ec2:DetachInternetGateway",
"ec2:DisassociateRouteTable",
"ec2:GetConsoleOutput",
"ec2:GetEbsDefaultKmsKeyId",
"ec2:ModifyInstanceAttribute",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:ModifySubnetAttribute",
"ec2:ModifyVpcAttribute",
"ec2:ReleaseAddress",
"ec2:ReplaceRouteTableAssociation",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:RunInstances",
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:TerminateInstances",
"elasticloadbalancing:AddTags",
"elasticloadbalancing:ApplySecurityGroupsToLoadBalancer",
"elasticloadbalancing:AttachLoadBalancerToSubnets",
"elasticloadbalancing:ConfigureHealthCheck",
"elasticloadbalancing:CreateListener",
"elasticloadbalancing:CreateLoadBalancer",
"elasticloadbalancing:CreateLoadBalancerListeners",
"elasticloadbalancing:CreateTargetGroup",
"elasticloadbalancing:DeleteLoadBalancer",
"elasticloadbalancing:DeleteTargetGroup",
"elasticloadbalancing:DeregisterInstancesFromLoadBalancer",
"elasticloadbalancing:DeregisterTargets",
"elasticloadbalancing:DescribeAccountLimits",
"elasticloadbalancing:DescribeInstanceHealth",
"elasticloadbalancing:DescribeListeners",
"elasticloadbalancing:DescribeLoadBalancerAttributes",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeTags",
"elasticloadbalancing:DescribeTargetGroupAttributes",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeTargetHealth",
"elasticloadbalancing:ModifyLoadBalancerAttributes",
"elasticloadbalancing:ModifyTargetGroup",
"elasticloadbalancing:ModifyTargetGroupAttributes",
"elasticloadbalancing:RegisterInstancesWithLoadBalancer",
"elasticloadbalancing:RegisterTargets",
"elasticloadbalancing:SetLoadBalancerPoliciesOfListener",
"iam:AddRoleToInstanceProfile",
"iam:CreateInstanceProfile",
"iam:DeleteInstanceProfile",
"iam:GetInstanceProfile",
"iam:TagInstanceProfile",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:GetUser",
"iam:ListAttachedRolePolicies",
"iam:ListInstanceProfiles",
"iam:ListInstanceProfilesForRole",
"iam:ListRolePolicies",
"iam:ListRoles",
"iam:ListUserPolicies",
"iam:ListUsers",
"iam:RemoveRoleFromInstanceProfile",
"iam:SimulatePrincipalPolicy",
"iam:TagRole",
"iam:UntagRole",
"route53:ChangeResourceRecordSets",
"route53:ChangeTagsForResource",
"route53:CreateHostedZone",
"route53:DeleteHostedZone",
"route53:GetAccountLimit",
"route53:GetChange",
"route53:GetHostedZone",
"route53:ListHostedZones",
"route53:ListHostedZonesByName",
"route53:ListResourceRecordSets",
"route53:ListTagsForResource",
"route53:UpdateHostedZoneComment",
"s3:CreateBucket",
"s3:DeleteBucket",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:GetAccelerateConfiguration",
"s3:GetBucketAcl",
"s3:GetBucketCORS",
"s3:GetBucketLocation",
"s3:GetBucketLogging",
"s3:GetBucketObjectLockConfiguration",
"s3:GetBucketPolicy",
"s3:GetReplicationConfiguration",
"s3:GetBucketRequestPayment",
"s3:GetBucketTagging",
"s3:GetBucketVersioning",
"s3:GetBucketWebsite",
"s3:GetEncryptionConfiguration",
"s3:GetLifecycleConfiguration",
"s3:GetObject",
"s3:GetObjectAcl",
"s3:GetObjectTagging",
"s3:GetObjectVersion",
"s3:GetReplicationConfiguration",
"s3:ListBucket",
"s3:ListBucketVersions",
"s3:PutBucketAcl",
"s3:PutBucketTagging",
"s3:PutBucketVersioning",
"s3:PutEncryptionConfiguration",
"s3:PutObject",
"s3:PutObjectAcl",
"s3:PutObjectTagging",
"servicequotas:GetServiceQuota",
"servicequotas:ListAWSDefaultServiceQuotas",
"sts:AssumeRole",
"sts:AssumeRoleWithWebIdentity",
"sts:GetCallerIdentity",
"tag:GetResources",
"tag:UntagResources",
"ec2:CreateVpcEndpointServiceConfiguration",
"ec2:DeleteVpcEndpointServiceConfigurations",
"ec2:DescribeVpcEndpointServiceConfigurations",
"ec2:DescribeVpcEndpointServicePermissions",
"ec2:DescribeVpcEndpointServices",
"ec2:ModifyVpcEndpointServicePermissions",
"kms:DescribeKey",
"cloudwatch:GetMetricData"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"secretsmanager:GetSecretValue"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/red-hat-managed": "true"
}
}
}
]
}
```
## [Präfix] — ControlPlane -Role-Policy
Sie können `[Prefix]-ControlPlane-Role-Policy` an Ihre IAM-Entitäten anhängen. Bevor Sie einen klassischen ROSA-Cluster erstellen können, müssen Sie diese Richtlinie zunächst einer IAM-Rolle mit dem Namen zuordnen. `[Prefix]-ControlPlane-Role` Diese Richtlinie gewährt ROSA classic die erforderlichen Berechtigungen zur Verwaltung Amazon EC2 und zum Hosten der ROSA Steuerungsebene sowie zum Lesen KMS keys von Elastic Load Balancing Ressourcen.
### Berechtigungsrichtlinie
Die in diesem Richtliniendokument definierten Berechtigungen geben an, welche Aktionen zulässig oder verweigert werden.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ec2:AttachVolume",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:DeleteSecurityGroup",
"ec2:DeleteVolume",
"ec2:Describe*",
"ec2:DetachVolume",
"ec2:ModifyInstanceAttribute",
"ec2:ModifyVolume",
"ec2:RevokeSecurityGroupIngress",
"elasticloadbalancing:AddTags",
"elasticloadbalancing:AttachLoadBalancerToSubnets",
"elasticloadbalancing:ApplySecurityGroupsToLoadBalancer",
"elasticloadbalancing:CreateListener",
"elasticloadbalancing:CreateLoadBalancer",
"elasticloadbalancing:CreateLoadBalancerPolicy",
"elasticloadbalancing:CreateLoadBalancerListeners",
"elasticloadbalancing:CreateTargetGroup",
"elasticloadbalancing:ConfigureHealthCheck",
"elasticloadbalancing:DeleteListener",
"elasticloadbalancing:DeleteLoadBalancer",
"elasticloadbalancing:DeleteLoadBalancerListeners",
"elasticloadbalancing:DeleteTargetGroup",
"elasticloadbalancing:DeregisterInstancesFromLoadBalancer",
"elasticloadbalancing:DeregisterTargets",
"elasticloadbalancing:Describe*",
"elasticloadbalancing:DetachLoadBalancerFromSubnets",
"elasticloadbalancing:ModifyListener",
"elasticloadbalancing:ModifyLoadBalancerAttributes",
"elasticloadbalancing:ModifyTargetGroup",
"elasticloadbalancing:ModifyTargetGroupAttributes",
"elasticloadbalancing:RegisterInstancesWithLoadBalancer",
"elasticloadbalancing:RegisterTargets",
"elasticloadbalancing:SetLoadBalancerPoliciesForBackendServer",
"elasticloadbalancing:SetLoadBalancerPoliciesOfListener",
"kms:DescribeKey"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
## [Präfix] -Worker-Role-Policy
Sie können `[Prefix]-Worker-Role-Policy` an Ihre IAM-Entitäten anhängen. Bevor Sie einen klassischen ROSA-Cluster erstellen können, müssen Sie diese Richtlinie zunächst einer IAM-Rolle mit dem Namen zuordnen. `[Prefix]-Worker-Role` Diese Richtlinie gewährt ROSA classic die erforderlichen Berechtigungen, um die EC2-Instances zu beschreiben, die als Worker-Knoten ausgeführt werden.
### Berechtigungsrichtlinie
Die in diesem Richtliniendokument definierten Berechtigungen geben an, welche Aktionen zulässig oder verweigert werden.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeRegions"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
## [Präfix] -Support-Role-Policy
Sie können `[Prefix]-Support-Role-Policy` an Ihre IAM-Entitäten anhängen. Bevor Sie einen klassischen ROSA-Cluster erstellen können, müssen Sie diese Richtlinie zunächst einer IAM-Rolle mit dem Namen zuordnen. `[Prefix]-Support-Role` Diese Richtlinie gewährt Red Hat Site Reliability Engineering die erforderlichen Berechtigungen zur Beobachtung, Diagnose und Unterstützung der AWS Ressourcen, die von den klassischen ROSA-Clustern verwendet werden, einschließlich der Möglichkeit, den Status von Clusterknoten zu ändern.
### Berechtigungsrichtlinie
Die in diesem Richtliniendokument definierten Berechtigungen geben an, welche Aktionen zulässig oder verweigert werden.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"cloudtrail:DescribeTrails",
"cloudtrail:LookupEvents",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"ec2-instance-connect:SendSerialConsoleSSHPublicKey",
"ec2:CopySnapshot",
"ec2:CreateNetworkInsightsPath",
"ec2:CreateSnapshot",
"ec2:CreateSnapshots",
"ec2:CreateTags",
"ec2:DeleteNetworkInsightsAnalysis",
"ec2:DeleteNetworkInsightsPath",
"ec2:DeleteTags",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAddresses",
"ec2:DescribeAddressesAttribute",
"ec2:DescribeAggregateIdFormat",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeByoipCidrs",
"ec2:DescribeCapacityReservations",
"ec2:DescribeCarrierGateways",
"ec2:DescribeClassicLinkInstances",
"ec2:DescribeClientVpnAuthorizationRules",
"ec2:DescribeClientVpnConnections",
"ec2:DescribeClientVpnEndpoints",
"ec2:DescribeClientVpnRoutes",
"ec2:DescribeClientVpnTargetNetworks",
"ec2:DescribeCoipPools",
"ec2:DescribeCustomerGateways",
"ec2:DescribeDhcpOptions",
"ec2:DescribeEgressOnlyInternetGateways",
"ec2:DescribeIamInstanceProfileAssociations",
"ec2:DescribeIdentityIdFormat",
"ec2:DescribeIdFormat",
"ec2:DescribeImageAttribute",
"ec2:DescribeImages",
"ec2:DescribeInstanceAttribute",
"ec2:DescribeInstances",
"ec2:DescribeInstanceStatus",
"ec2:DescribeInstanceTypeOfferings",
"ec2:DescribeInstanceTypes",
"ec2:DescribeInternetGateways",
"ec2:DescribeIpv6Pools",
"ec2:DescribeKeyPairs",
"ec2:DescribeLaunchTemplates",
"ec2:DescribeLocalGatewayRouteTables",
"ec2:DescribeLocalGatewayRouteTableVirtualInterfaceGroupAssociations",
"ec2:DescribeLocalGatewayRouteTableVpcAssociations",
"ec2:DescribeLocalGateways",
"ec2:DescribeLocalGatewayVirtualInterfaceGroups",
"ec2:DescribeLocalGatewayVirtualInterfaces",
"ec2:DescribeManagedPrefixLists",
"ec2:DescribeNatGateways",
"ec2:DescribeNetworkAcls",
"ec2:DescribeNetworkInsightsAnalyses",
"ec2:DescribeNetworkInsightsPaths",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribePlacementGroups",
"ec2:DescribePrefixLists",
"ec2:DescribePrincipalIdFormat",
"ec2:DescribePublicIpv4Pools",
"ec2:DescribeRegions",
"ec2:DescribeReservedInstances",
"ec2:DescribeRouteTables",
"ec2:DescribeScheduledInstances",
"ec2:DescribeSecurityGroupReferences",
"ec2:DescribeSecurityGroupRules",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSnapshotAttribute",
"ec2:DescribeSnapshots",
"ec2:DescribeSpotFleetInstances",
"ec2:DescribeStaleSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeTags",
"ec2:DescribeTransitGatewayAttachments",
"ec2:DescribeTransitGatewayConnectPeers",
"ec2:DescribeTransitGatewayConnects",
"ec2:DescribeTransitGatewayMulticastDomains",
"ec2:DescribeTransitGatewayPeeringAttachments",
"ec2:DescribeTransitGatewayRouteTables",
"ec2:DescribeTransitGateways",
"ec2:DescribeTransitGatewayVpcAttachments",
"ec2:DescribeVolumeAttribute",
"ec2:DescribeVolumes",
"ec2:DescribeVolumesModifications",
"ec2:DescribeVolumeStatus",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcClassicLink",
"ec2:DescribeVpcClassicLinkDnsSupport",
"ec2:DescribeVpcEndpointConnectionNotifications",
"ec2:DescribeVpcEndpointConnections",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcEndpointServiceConfigurations",
"ec2:DescribeVpcEndpointServicePermissions",
"ec2:DescribeVpcEndpointServices",
"ec2:DescribeVpcPeeringConnections",
"ec2:DescribeVpcs",
"ec2:DescribeVpnConnections",
"ec2:DescribeVpnGateways",
"ec2:GetAssociatedIpv6PoolCidrs",
"ec2:GetConsoleOutput",
"ec2:GetManagedPrefixListEntries",
"ec2:GetSerialConsoleAccessStatus",
"ec2:GetTransitGatewayAttachmentPropagations",
"ec2:GetTransitGatewayMulticastDomainAssociations",
"ec2:GetTransitGatewayPrefixListReferences",
"ec2:GetTransitGatewayRouteTableAssociations",
"ec2:GetTransitGatewayRouteTablePropagations",
"ec2:ModifyInstanceAttribute",
"ec2:RebootInstances",
"ec2:RunInstances",
"ec2:SearchLocalGatewayRoutes",
"ec2:SearchTransitGatewayMulticastGroups",
"ec2:SearchTransitGatewayRoutes",
"ec2:StartInstances",
"ec2:StartNetworkInsightsAnalysis",
"ec2:StopInstances",
"ec2:TerminateInstances",
"elasticloadbalancing:ConfigureHealthCheck",
"elasticloadbalancing:DescribeAccountLimits",
"elasticloadbalancing:DescribeInstanceHealth",
"elasticloadbalancing:DescribeListenerCertificates",
"elasticloadbalancing:DescribeListeners",
"elasticloadbalancing:DescribeLoadBalancerAttributes",
"elasticloadbalancing:DescribeLoadBalancerPolicies",
"elasticloadbalancing:DescribeLoadBalancerPolicyTypes",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeRules",
"elasticloadbalancing:DescribeSSLPolicies",
"elasticloadbalancing:DescribeTags",
"elasticloadbalancing:DescribeTargetGroupAttributes",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeTargetHealth",
"iam:GetRole",
"iam:ListRoles",
"kms:CreateGrant",
"route53:GetHostedZone",
"route53:GetHostedZoneCount",
"route53:ListHostedZones",
"route53:ListHostedZonesByName",
"route53:ListResourceRecordSets",
"s3:GetBucketTagging",
"s3:GetObjectAcl",
"s3:GetObjectTagging",
"s3:ListAllMyBuckets",
"sts:DecodeAuthorizationMessage",
"tiros:CreateQuery",
"tiros:GetQueryAnswer",
"tiros:GetQueryExplanation"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"s3:ListBucket"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::managed-velero*",
"arn:aws:s3:::*image-registry*"
]
}
]
}
```
# Die klassischen ROSA-Betreiberrichtlinien
Dieser Abschnitt enthält Einzelheiten zu den Betreiberrichtlinien, die für ROSA classic erforderlich sind. Bevor Sie einen ROSA Classic-Cluster erstellen können, müssen Sie diese Richtlinien zunächst den entsprechenden Operatorrollen zuordnen. Für jeden Cluster ist ein eigener Satz von Operatorrollen erforderlich.
Diese Berechtigungen werden benötigt, damit die OpenShift Betreiber die klassischen ROSA-Clusterknoten verwalten können. Sie können den Richtliniennamen ein benutzerdefiniertes Präfix zuweisen, um die Richtlinienverwaltung zu vereinfachen (z. B.`ManagedOpenShift-openshift-ingress-operator-cloud-credentials`).
## [Präfix] openshift-ingress-operator-cloud — Anmeldeinformationen
Sie können `[Prefix]-openshift-ingress-operator-cloud-credentials` an Ihre IAM-Entitäten anhängen. Diese Richtlinie gewährt dem Ingress-Operator die erforderlichen Berechtigungen zur Bereitstellung und Verwaltung von Load Balancers und DNS-Konfigurationen für den externen Clusterzugriff. Die Richtlinie ermöglicht es dem Ingress-Operator auch, Route 53 Ressourcen-Tag-Werte zu lesen und zu filtern, um gehostete Zonen zu ermitteln. Weitere Informationen zum Operator finden Sie in der Dokumentation unter [OpenShift Ingress-Operator](https://github.com/openshift/cluster-ingress-operator). OpenShift GitHub
### Berechtigungsrichtlinie
In diesem Richtliniendokument definierte Berechtigungen geben an, welche Aktionen zulässig oder verweigert werden.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"elasticloadbalancing:DescribeLoadBalancers",
"route53:ListHostedZones",
"route53:ListTagsForResources",
"route53:ChangeResourceRecordSets",
"tag:GetResources"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
## [Präfix] - openshift-cluster-csi-drivers - ebs-cloud-credentials
Sie können `[Prefix]-openshift-cluster-csi-drivers-ebs-cloud-credentials` an Ihre IAM-Entitäten anhängen. Diese Richtlinie gewährt dem Amazon EBS CSI-Treiberoperator die erforderlichen Berechtigungen zur Installation und Wartung des Amazon EBS CSI-Treibers auf einem ROSA Classic-Cluster. Weitere Informationen zum Operator finden Sie in der OpenShift GitHub Dokumentation unter [aws-ebs-csi-driver-operator](https://github.com/openshift/aws-ebs-csi-driver-operator#aws-ebs-csi-driver-operator).
### Berechtigungsrichtlinie
In diesem Richtliniendokument definierte Berechtigungen geben an, welche Aktionen zulässig oder verweigert werden.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ec2:AttachVolume",
"ec2:CreateSnapshot",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:DeleteSnapshot",
"ec2:DeleteTags",
"ec2:DeleteVolume",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeInstances",
"ec2:DescribeSnapshots",
"ec2:DescribeTags",
"ec2:DescribeVolumes",
"ec2:DescribeVolumesModifications",
"ec2:DetachVolume",
"ec2:EnableFastSnapshotRestores",
"ec2:ModifyVolume"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
## [Präfix] — openshift-machine-api-aws -cloud-credentials
Sie können `[Prefix]-openshift-machine-api-aws-cloud-credentials` an Ihre IAM-Entitäten anhängen. Diese Richtlinie gewährt dem Machine Config Operator die erforderlichen Berechtigungen, um Amazon EC2 Instanzen zu beschreiben, auszuführen und zu beenden, die als Worker-Knoten verwaltet werden. Diese Richtlinie gewährt auch Berechtigungen für die Festplattenverschlüsselung des Root-Volumes des Worker-Knotens mithilfe von AWS KMS keys. Weitere Informationen zum Operator finden Sie [machine-config-operator](https://github.com/openshift/machine-config-operator)in der OpenShift GitHub Dokumentation.
### Berechtigungsrichtlinie
In diesem Richtliniendokument definierte Berechtigungen geben an, welche Aktionen zulässig oder verweigert werden.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ec2:CreateTags",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeDhcpOptions",
"ec2:DescribeImages",
"ec2:DescribeInstances",
"ec2:DescribeInternetGateways",
"ec2:DescribeInstanceTypes",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRegions",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:RunInstances",
"ec2:TerminateInstances",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeTargetHealth",
"elasticloadbalancing:RegisterInstancesWithLoadBalancer",
"elasticloadbalancing:RegisterTargets",
"elasticloadbalancing:DeregisterTargets",
"iam:CreateServiceLinkedRole"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKey",
"kms:GenerateDataKeyWithoutPlainText",
"kms:DescribeKey"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"kms:RevokeGrant",
"kms:CreateGrant",
"kms:ListGrants"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
}
]
}
```
## [Präfix] — openshift-cloud-credential-operator -cloud-credentials
Sie können `[Prefix]-openshift-cloud-credential-operator-cloud-credentials` an Ihre IAM-Entitäten anhängen. Diese Richtlinie gewährt dem Cloud Credential Operator die erforderlichen Berechtigungen zum Abrufen von IAM-Benutzer Details, einschließlich des Zugriffsschlüssels IDs, angehängter Inline-Richtliniendokumente, des Erstellungsdatums, des Pfads, der Benutzer-ID und des Amazon-Ressourcennamens (ARN). Weitere Informationen zum Betreiber finden Sie [cloud-credential-operator](https://github.com/openshift/cloud-credential-operator)in der OpenShift GitHub Dokumentation.
### Berechtigungsrichtlinie
In diesem Richtliniendokument definierte Berechtigungen geben an, welche Aktionen zulässig oder verweigert werden.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iam:GetUser",
"iam:GetUserPolicy",
"iam:ListAccessKeys"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
## [Präfix] — openshift-image-registry-installer -cloud-credentials
Sie können `[Prefix]-openshift-image-registry-installer-cloud-credentials` an Ihre IAM-Entitäten anhängen. Diese Richtlinie gewährt dem Image Registry Operator die erforderlichen Berechtigungen zur Bereitstellung und Verwaltung von Ressourcen für die Cluster-interne Image-Registry und die abhängigen Dienste von ROSA classic, darunter. Amazon S3 Dies ist erforderlich, damit der Betreiber die interne Registrierung eines ROSA Classic-Clusters installieren und verwalten kann. Weitere Informationen zum Operator finden Sie in der OpenShift GitHub Dokumentation unter [Image Registry Operator](https://github.com/openshift/cluster-image-registry-operator#image-registry-operator).
### Berechtigungsrichtlinie
In diesem Richtliniendokument definierte Berechtigungen geben an, welche Aktionen zulässig oder verweigert werden.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"s3:CreateBucket",
"s3:DeleteBucket",
"s3:PutBucketTagging",
"s3:GetBucketTagging",
"s3:PutBucketPublicAccessBlock",
"s3:GetBucketPublicAccessBlock",
"s3:PutEncryptionConfiguration",
"s3:GetEncryptionConfiguration",
"s3:PutLifecycleConfiguration",
"s3:GetLifecycleConfiguration",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:ListBucketMultipartUploads",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
## [Präfix] - openshift-cloud-network-config - controller-cloud-cr
Sie können `[Prefix]-openshift-cloud-network-config-controller-cloud-cr` an Ihre IAM-Entitäten anhängen. Diese Richtlinie gewährt dem Cloud Network Config Controller Operator die erforderlichen Berechtigungen zur Bereitstellung und Verwaltung von Netzwerkressourcen für die Verwendung durch das ROSA Classic Cluster Networking Overlay. Der Betreiber verwendet diese Berechtigungen, um private IP-Adressen für Amazon EC2 Instanzen als Teil des ROSA Classic-Clusters zu verwalten. Weitere Informationen zum Operator finden Sie loud-network-config-controller in der OpenShift GitHub Dokumentation unter [C.](https://github.com/openshift/cloud-network-config-controller#cloud-network-config-controller-cncc)
### Berechtigungsrichtlinie
In diesem Richtliniendokument definierte Berechtigungen geben an, welche Aktionen zulässig oder verweigert werden.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeInstanceStatus",
"ec2:DescribeInstanceTypes",
"ec2:UnassignPrivateIpAddresses",
"ec2:AssignPrivateIpAddresses",
"ec2:UnassignIpv6Addresses",
"ec2:AssignIpv6Addresses",
"ec2:DescribeSubnets",
"ec2:DescribeNetworkInterfaces"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```