Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Identitäts- und Zugriffsmanagement für ROSA
AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf AWS Ressourcen sicher zu kontrollieren. IAM Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um ROSA Ressourcen zu verwenden. IAM ist eine AWS-Service , die Sie ohne zusätzliche Kosten verwenden können.
**Topics**
+ [Zielgruppe](#security-iam-audience)
+ [Authentifizierung mit Identitäten](#security-iam-authentication)
+ [Verwalten des Zugriffs mit Richtlinien](#security-iam-access-manage)
+ [ROSA Beispiele für identitätsbasierte Richtlinien](security-iam-id-based-policy-examples.md)
+ [AWS verwaltete Richtlinien für ROSA](security-iam-awsmanpol.md)
+ [Fehlerbehebung bei ROSA Identität und Zugriff](security-iam-troubleshoot.md)
## Zielgruppe
Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von der Arbeit ab, in der Sie arbeiten ROSA.
**Dienstbenutzer** — Wenn Sie den ROSA Dienst für Ihre Arbeit verwenden, stellt Ihnen Ihr Administrator die erforderlichen Anmeldeinformationen und Berechtigungen zur Verfügung. Wenn Sie für Ihre Arbeit mehr ROSA Funktionen verwenden, benötigen Sie möglicherweise zusätzliche Berechtigungen. Wenn Sie die Funktionsweise der Zugriffskontrolle nachvollziehen, wissen Sie bereits, welche Berechtigungen Sie von Ihrem Administrator anfordern müssen. Wenn Sie in nicht auf eine Funktion zugreifen können ROSA, finden Sie weitere Informationen unter[Fehlerbehebung bei ROSA Identität und Zugriff](security-iam-troubleshoot.md).
**Serviceadministrator** — Wenn Sie in Ihrem Unternehmen für ROSA Ressourcen verantwortlich sind, haben Sie wahrscheinlich vollen Zugriff auf ROSA. Es ist Ihre Aufgabe, zu bestimmen, auf welche ROSA Funktionen und Ressourcen Ihre Servicebenutzer zugreifen sollen. Anschließend müssen Sie Anfragen an Ihren IAM Administrator senden, um die Berechtigungen Ihrer Servicebenutzer zu ändern. Lesen Sie die Informationen auf dieser Seite, um die grundlegenden Konzepte von zu verstehen IAM.
** IAM Administrator** — Wenn Sie ein IAM Administrator sind, möchten Sie vielleicht mehr über die Richtlinien erfahren, die zur Verwaltung des Zugriffs auf verwendet werden ROSA. Beispiele für ROSA identitätsbasierte Richtlinien, die Sie in verwenden können IAM, finden Sie unter. [ROSA Beispiele für identitätsbasierte Richtlinien](security-iam-id-based-policy-examples.md)
## Authentifizierung mit Identitäten
Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen als AWS-Konto Root-Benutzer *authentifiziert* (angemeldet AWS) sein IAM-Benutzer, oder indem Sie eine IAM Rolle übernehmen.
Sie können sich AWS als föderierte Identität anmelden, indem Sie Anmeldeinformationen verwenden, die über eine Identitätsquelle bereitgestellt wurden. AWS IAM Identity Center (IAM Identity Center) Nutzer, die Single-Sign-On-Authentifizierung Ihres Unternehmens und Ihre Google- oder Facebook-Anmeldeinformationen sind Beispiele für föderierte Identitäten. Wenn Sie sich als föderierte Identität anmelden, hat Ihr Administrator zuvor einen Identitätsverbund mithilfe von Rollen eingerichtet. IAM Wenn Sie AWS mithilfe eines Verbunds darauf zugreifen, übernehmen Sie indirekt eine Rolle.
Je nachdem, welcher Benutzertyp Sie sind, können Sie sich beim AWS-Managementkonsole oder beim AWS Zugangsportal anmelden. Weitere Informationen zur Anmeldung finden Sie unter [So melden Sie sich bei Ihrem an AWS-Konto](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im * AWS Anmelde-Benutzerhandbuch*. AWS
Wenn Sie AWS programmgesteuert zugreifen, AWS stellt es ein Software Development Kit (SDK) und eine Befehlszeilenschnittstelle (CLI) bereit, um Ihre Anfragen mit Ihren Anmeldeinformationen kryptografisch zu signieren. Wenn Sie keine AWS Tools verwenden, müssen Sie Anfragen selbst signieren. Weitere Informationen zur Verwendung der empfohlenen Methode, um Anfragen selbst zu [signieren, finden Sie im * IAM Benutzerhandbuch* unter AWS API-Anfragen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-signing.html) signieren.
Unabhängig von der verwendeten Authentifizierungsmethode müssen Sie möglicherweise auch zusätzliche Sicherheitsinformationen angeben. AWS Empfiehlt beispielsweise, die Multi-Faktor-Authentifizierung (MFA) zu verwenden, um die Sicherheit Ihres Kontos zu erhöhen. *Weitere Informationen finden Sie unter [Multi-Factor Authentication](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-mfa.html) im * AWS IAM Identity Center (Nachfolger von AWS Single Sign-On) User Guide* und [Using Multi-Factor Authentication (MFA) AWS im](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) IAM-Benutzerhandbuch.*
### AWS-Konto Root-Benutzer
Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer einzigen Anmeldeidentität, die vollständigen Zugriff auf alle AWS-Services Ressourcen im Konto hat. Diese Identität wird als AWS-Konto Root-Benutzer bezeichnet. Der Zugriff erfolgt, indem Sie sich mit der E-Mail-Adresse und dem Passwort anmelden, mit denen Sie das Konto erstellt haben. Wir raten ausdrücklich davon ab, den Root-Benutzer für alltägliche Aufgaben zu verwenden. Schützen Sie Ihre Root-Benutzer-Anmeldeinformationen und verwenden Sie diese, um Aufgaben auszuführen, die nur der Root-Benutzer ausführen kann. *Eine vollständige Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie im Benutzerhandbuch unter [Aufgaben, für die Root-Benutzeranmeldedaten erforderlich](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-tasks.html) sind. IAM *
### Verbundidentität
Als bewährte Methode sollten menschliche Benutzer, einschließlich Benutzer, die Administratorzugriff benötigen, für den Zugriff AWS-Services mithilfe temporärer Anmeldeinformationen den Verbund mit einem Identitätsanbieter verwenden.
Eine föderierte Identität ist ein Benutzer aus Ihrem Unternehmensbenutzerverzeichnis, einem Web-Identitätsanbieter AWS Directory Service, dem Identity Center-Verzeichnis oder einem beliebigen Benutzer, der mithilfe AWS-Services von Anmeldeinformationen zugreift, die über eine Identitätsquelle bereitgestellt wurden. Wenn föderierte Identitäten darauf zugreifen AWS-Konten, übernehmen sie Rollen, und die Rollen stellen temporäre Anmeldeinformationen bereit.
Für die zentrale Zugriffsverwaltung empfehlen wir Ihnen, AWS IAM Identity Center zu verwenden. Sie können Benutzer und Gruppen in IAM Identity Center erstellen, oder Sie können eine Verbindung zu einer Gruppe von Benutzern und Gruppen in Ihrer eigenen Identitätsquelle herstellen und diese synchronisieren, um sie in all Ihren AWS-Konten Anwendungen zu verwenden. Informationen zu IAM Identity Center finden Sie unter [Was ist IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) Identity Center? im Benutzerhandbuch für * AWS IAM Identity Center (Nachfolger von AWS Single Sign-On*).
### IAM-Benutzer und Gruppen
Eine *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*ist eine Identität innerhalb von Ihnen AWS-Konto , die über spezifische Berechtigungen für eine einzelne Person oder Anwendung verfügt. Wir empfehlen, sich nach Möglichkeit auf temporäre Zugangsdaten zu verlassen IAM-Benutzer , anstatt solche mit langfristigen Zugangsdaten wie Passwörtern und Zugangsschlüsseln zu erstellen. Wenn Sie jedoch spezielle Anwendungsfälle haben, für die langfristige Anmeldeinformationen erforderlich sind, empfehlen wir IAM-Benutzer, dass Sie die Zugriffsschlüssel rotieren. Weitere Informationen finden Sie unter [Regelmäßiges Rotieren von Zugriffsschlüsseln für Anwendungsfälle, die langfristige Anmeldeinformationen erfordern](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials) im *IAM-Benutzerhandbuch*.
Eine [IAM Gruppe](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) ist eine Identität, die eine Sammlung von angibt IAM-Benutzer. Sie können sich nicht als Gruppe anmelden. Mithilfe von Gruppen können Sie Berechtigungen für mehrere Benutzer gleichzeitig angeben. Gruppen erleichtern die Verwaltung von Berechtigungen für große Benutzergruppen. Sie könnten beispielsweise einer Gruppe einen Namen geben *IAMAdmins*und dieser Gruppe Berechtigungen zur Verwaltung von IAM Ressourcen erteilen.
Benutzer sind nicht dasselbe wie Rollen. Ein Benutzer ist einer einzigen Person oder Anwendung eindeutig zugeordnet. Eine Rolle kann von allen Personen angenommen werden, die sie benötigen. Benutzer besitzen dauerhafte Anmeldeinformationen. Rollen stellen temporäre Anmeldeinformationen bereit. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Wann sollte eine Rolle IAM-Benutzer (statt einer Rolle) erstellt](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose) werden?
### IAM Rollen
Eine *[IAM Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität innerhalb von Ihnen AWS-Konto , für die bestimmte Berechtigungen gelten. Sie ähnelt einer IAM-Benutzer, ist aber keiner bestimmten Person zugeordnet. Sie können vorübergehend eine IAM Rolle in der übernehmen, AWS-Managementkonsole indem Sie die [Rollen wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html). Sie können eine Rolle übernehmen, indem Sie eine AWS CLI oder AWS API-Operation aufrufen oder eine benutzerdefinierte URL verwenden. Weitere Informationen zu Methoden zur Verwendung von Rollen finden Sie [unter IAM Rollen verwenden](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html) im *IAM-Benutzerhandbuch*.
IAM Rollen mit temporären Anmeldeinformationen sind in den folgenden Situationen nützlich:
+ **Föderierter Benutzerzugriff** — Um einer föderierten Identität Berechtigungen zuzuweisen, erstellen Sie eine Rolle und definieren Berechtigungen für die Rolle. Wird eine Verbundidentität authentifiziert, so wird die Identität der Rolle zugeordnet und erhält die von der Rolle definierten Berechtigungen. Informationen zu Rollen für den Verbund finden Sie unter [Erstellen von Rollen für externe Identitätsanbieter](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html) im *IAM-Benutzerhandbuch*. Wenn Sie IAM Identity Center verwenden, konfigurieren Sie einen Berechtigungssatz. Um zu steuern, worauf Ihre Identitäten nach der Authentifizierung zugreifen können, korreliert IAM Identity Center den Berechtigungssatz mit einer Rolle in IAM. Informationen zu Berechtigungssätzen finden Sie unter [Berechtigungssätze](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) im * AWS IAM Identity Center-Benutzerhandbuch (Nachfolger von AWS Single Sign-On*).
+ **Temporäre IAM-Benutzer Berechtigungen** — Ein Benutzer IAM-Benutzer kann eine IAM Rolle übernehmen, um vorübergehend verschiedene Berechtigungen für eine bestimmte Aufgabe zu übernehmen.
+ **Kontoübergreifender Zugriff** — Sie können eine IAM Rolle verwenden, um jemandem (einem vertrauenswürdigen Principal) in einem anderen Konto den Zugriff auf Ressourcen in Ihrem Konto zu ermöglichen. Rollen stellen die primäre Möglichkeit dar, um kontoübergreifendem Zugriff zu gewähren. Bei einigen können Sie AWS-Services jedoch eine Richtlinie direkt an eine Ressource anhängen (anstatt eine Rolle als Proxy zu verwenden). *Informationen zum Unterschied zwischen Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie im [IAM-Benutzerhandbuch unter Unterschiede zwischen IAM Rollen und ressourcenbasierten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html).*
+ **Serviceübergreifender Zugriff** — Einige verwenden Funktionen in anderen. AWS-Services AWS-Services Wenn Sie beispielsweise in einem Dienst einen Anruf tätigen, ist es üblich, dass dieser Dienst Anwendungen ausführt Amazon EC2 oder Objekte darin Amazon S3 speichert. Ein Service kann dies mithilfe der Berechtigungen des aufrufenden Prinzipals, einer Servicerolle oder einer serviceverknüpften Rolle tun.
+ **Forward Access Sessions** (FAS) — Wenn Sie eine IAM-Benutzer OR-Rolle verwenden, um Aktionen auszuführen AWS, gelten Sie als Principal. Bei einigen Services könnte es Aktionen geben, die dann eine andere Aktion in einem anderen Service initiieren. FAS verwendet die Berechtigungen des Prinzipals, der einen aufruft AWS-Service, in Kombination mit der Anforderung, Anfragen an nachgelagerte Dienste AWS-Service zu stellen. FAS-Anfragen werden nur gestellt, wenn ein Dienst eine Anfrage erhält, für deren Abschluss Interaktionen mit anderen AWS-Services oder Ressourcen erforderlich sind. In diesem Fall müssen Sie über Berechtigungen zum Ausführen beider Aktionen verfügen. Einzelheiten zu den Richtlinien für FAS-Anforderungen finden Sie unter [Zugriffssitzungen weiterleiten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
+ **Servicerolle** — Eine Servicerolle ist eine IAM Rolle, die ein Dienst übernimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM Administrator kann eine Servicerolle von innen heraus erstellen, ändern und löschen IAM. Weitere Informationen finden Sie unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *IAM-Benutzerhandbuch*.
+ **Dienstbezogene Rolle** — Eine dienstverknüpfte Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Servicebezogene Rollen werden in Ihrem IAM Konto angezeigt und gehören dem Dienst. Ein IAM Administrator kann die Berechtigungen für dienstbezogene Rollen einsehen, aber nicht bearbeiten.
+ **Anwendungen, die auf einer Instanz ausgeführt** werden Amazon EC2 — Sie können eine IAM Rolle verwenden, um temporäre Anmeldeinformationen für Anwendungen zu verwalten, die auf einer Amazon EC2 Instanz ausgeführt werden und AWS API-Anfragen stellen AWS CLI . Dies ist dem Speichern von Zugriffsschlüsseln innerhalb der Amazon EC2 Instanz vorzuziehen. Um einer Amazon EC2 Instanz eine AWS Rolle zuzuweisen und sie allen ihren Anwendungen zur Verfügung zu stellen, erstellen Sie ein Instanzprofil, das an die Instanz angehängt ist. Ein Instanzprofil enthält die Rolle und ermöglicht Programmen, die auf der Amazon EC2 Instanz ausgeführt werden, temporäre Anmeldeinformationen abzurufen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* [unter Verwenden einer IAM Rolle zum Erteilen von Berechtigungen für Anwendungen, die auf Amazon EC2 Instances ausgeführt](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html) werden.
Informationen darüber, ob Sie IAM Rollen oder IAM Benutzer verwenden sollten, finden Sie im *IAM-Benutzerhandbuch* unter [Wann eine IAM Rolle (anstelle eines Benutzers) erstellt](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose_role) werden sollte.
## Verwalten des Zugriffs mit Richtlinien
Sie steuern den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie ist ein Objekt, AWS das, wenn es einer Identität oder Ressource zugeordnet ist, deren Berechtigungen definiert. AWS wertet diese Richtlinien aus, wenn ein Prinzipal (Benutzer, Root-Benutzer oder Rollensitzung) eine Anfrage stellt. Die Berechtigungen in den Richtlinien legen fest, ob eine Anforderung zugelassen oder abgelehnt wird. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu Struktur und Inhalten von JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*.
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Um Benutzern die Erlaubnis zu erteilen, Aktionen mit den Ressourcen durchzuführen, die sie benötigen, kann ein IAM Administrator IAM Richtlinien erstellen. Der Administrator kann dann die IAM Richtlinien zu Rollen hinzufügen, und Benutzer können die Rollen übernehmen.
IAM Richtlinien definieren Berechtigungen für eine Aktion, unabhängig von der Methode, mit der Sie den Vorgang ausführen. Angenommen, es gibt eine Richtlinie, die Berechtigungen für die `iam:GetRole`-Aktion erteilt. Ein Benutzer mit dieser Richtlinie kann Rolleninformationen von der AWS-Managementkonsole AWS CLI, der oder der AWS API abrufen.
### Identitätsbasierte Richtlinien
Identitätsbasierte Richtlinien sind Richtliniendokumente für JSON-Berechtigungen, die Sie an eine Identität, z. B. eine Rolle oder Gruppe IAM-Benutzer, anhängen können. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. *Informationen zum Erstellen einer identitätsbasierten Richtlinie finden Sie unter [Erstellen von IAM Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im IAM-Benutzerhandbuch.*
Identitätsbasierte Richtlinien können weiter als *Inline-Richtlinien* oder *verwaltete Richtlinien* kategorisiert werden. Eingebundene Richtlinien sind direkt in einen einzelnen Benutzer, eine einzelne Gruppe oder eine einzelne Rolle eingebettet. Verwaltete Richtlinien sind eigenständige Richtlinien, die Sie mehreren Benutzern, Gruppen und Rollen in Ihrem System zuordnen können. AWS-Konto Zu den verwalteten Richtlinien gehören AWS verwaltete Richtlinien und vom Kunden verwaltete Richtlinien. Informationen dazu, wie Sie zwischen einer verwalteten Richtlinie und einer eingebundenen Richtlinie wählen, finden Sie unter [Auswahl zwischen verwalteten und eingebundenen Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#choosing-managed-or-inline) im *IAM-Benutzerhandbuch*.
### Ressourcenbasierte Richtlinien
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele für ressourcenbasierte Richtlinien sind IAM -*Rollen-Vertrauensrichtlinien* und Amazon S3 -*Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Für die Ressource, an welche die Richtlinie angehängt ist, legt die Richtlinie fest, welche Aktionen ein bestimmter Prinzipal unter welchen Bedingungen für diese Ressource ausführen kann. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). Zu den Prinzipalen können Konten, Benutzer, Rollen, Verbundbenutzer oder gehören. AWS-Services
Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können AWS verwaltete Richtlinien nicht IAM in einer ressourcenbasierten Richtlinie verwenden.
### Zugriffskontrolllisten () ACLs
Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.
Amazon S3 AWS WAF, und Amazon VPC sind Beispiele für Dienste, die Unterstützung bieten. ACLs Weitere Informationen finden Sie in der [Übersicht über ACLs die Access Control List (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.
### Weitere Richtlinientypen
AWS unterstützt zusätzliche, weniger verbreitete Richtlinientypen. Mit diesen Richtlinientypen können Sie die maximalen Berechtigungen festlegen, die Ihnen durch die gängigeren Richtlinientypen gewährt werden.
+ **Berechtigungsgrenzen** — Eine Berechtigungsgrenze ist eine erweiterte Funktion, mit der Sie die maximalen Berechtigungen festlegen, die eine identitätsbasierte Richtlinie einer IAM Entität (IAM-Benutzer oder Rolle) gewähren kann. Sie können eine Berechtigungsgrenze für eine Entität festlegen. Die resultierenden Berechtigungen sind die Schnittmenge der identitätsbasierten Richtlinien der Entität und ihrer Berechtigungsgrenzen. Ressourcenbasierte Richtlinien, die den Benutzer oder die Rolle im Feld `Principal` angeben, werden nicht durch Berechtigungsgrenzen eingeschränkt. Eine explizite Zugriffsverweigerung in einer dieser Richtlinien setzt eine Zugriffserlaubnis außer Kraft. Weitere Informationen zu Berechtigungsgrenzen finden Sie unter [Berechtigungsgrenzen für IAM Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *IAM-Benutzerhandbuch*.
+ **Dienststeuerungsrichtlinien (SCPs)** — SCPs sind JSON-Richtlinien, die die maximalen Berechtigungen für eine Organisation oder Organisationseinheit (OU) in AWS Organizations festlegen. AWS Organizations ist ein Dienst zur Gruppierung und zentralen Verwaltung mehrerer Objekte AWS-Konten , die Ihrem Unternehmen gehören. Wenn Sie alle Funktionen in einer Organisation aktivieren, können Sie Richtlinien zur Servicesteuerung (SCPs) auf einige oder alle Ihre Konten anwenden. Das SCP schränkt die Berechtigungen für Entitäten in Mitgliedskonten ein, einschließlich jedes AWS-Konto Root-Benutzers. Weitere Informationen zu Organizations und SCPs finden Sie unter [Richtlinien zur Servicesteuerung (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im * AWS Organizations Benutzerhandbuch*.
+ **Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die Sie als Parameter übergeben, wenn Sie eine temporäre Sitzung für eine Rolle oder einen verbundenen Benutzer programmgesteuert erstellen. Die resultierenden Sitzungsberechtigungen sind die Schnittmenge der identitätsbasierten Richtlinien des Benutzers oder der Rolle und der Sitzungsrichtlinien. Berechtigungen können auch aus einer ressourcenbasierten Richtlinie stammen. Eine explizite Zugriffsverweigerung in einer dieser Richtlinien setzt eine Zugriffserlaubnis außer Kraft. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im *IAM-Benutzerhandbuch*.
### Mehrere Richtlinientypen
Wenn für eine Anfrage mehrere Arten von Richtlinien gelten, sind die sich daraus ergebenden Berechtigungen schwieriger zu verstehen. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.
# ROSA Beispiele für identitätsbasierte Richtlinien
Standardmäßig sind Rollen nicht berechtigt, IAM-Benutzer Ressourcen zu erstellen oder zu ändern AWS . Sie können auch keine Aufgaben mit der AWS-Managementkonsole AWS CLI, oder AWS API ausführen. Ein IAM Administrator muss IAM Richtlinien erstellen, die Benutzern und Rollen die Erlaubnis gewähren, bestimmte API-Operationen mit den angegebenen Ressourcen auszuführen, die sie benötigen. Der Administrator muss diese Richtlinien dann den Gruppen IAM-Benutzer oder Gruppen zuordnen, für die diese Berechtigungen erforderlich sind.
Informationen zum Erstellen einer IAM identitätsbasierten Richtlinie mithilfe dieser Beispieldokumente zu JSON-Richtlinien finden Sie im *IAM-Benutzerhandbuch* unter [Erstellen von Richtlinien auf der Registerkarte JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor).
## Verwenden der Konsole ROSA
Um ROSA von der Konsole aus abonnieren zu können, muss Ihr IAM-Principal über die erforderlichen AWS Marketplace Berechtigungen verfügen. Die Berechtigungen ermöglichen es dem Prinzipal, das ROSA Produktangebot in Abonnements zu abonnieren und abzubestellen AWS Marketplace und AWS Marketplace Abonnements anzusehen. Um die erforderlichen Berechtigungen hinzuzufügen, rufen Sie die [ROSA Konsole](https://console.aws.amazon.com/rosa) auf und hängen Sie die AWS verwaltete Richtlinie `ROSAManageSubscription` an Ihren IAM-Prinzipal an. Mehr über `ROSAManageSubscription` erfahren Sie unter [AWS verwaltete Richtlinie: ROSAManage Abonnement](security-iam-awsmanpol.md#security-iam-awsmanpol-rosamanagesubscription).
## Autorisieren von ROSA mit HCP zur Verwaltung von Ressourcen AWS
ROSA mit Hosted Control Planes (HCP) verwendet AWS verwaltete Richtlinien mit Berechtigungen, die für den Betrieb und Support der Dienste erforderlich sind. Sie verwenden die ROSA CLI oder IAM Konsole, um diese Richtlinien an Servicerollen in Ihrem anzuhängen AWS-Konto.
Weitere Informationen finden Sie unter [AWS verwaltete Richtlinien für ROSA](security-iam-awsmanpol.md).
## Autorisierung von ROSA classic zur Verwaltung von Ressourcen AWS
ROSA classic verwendet vom Kunden verwaltete IAM-Richtlinien mit vom Service vordefinierten Berechtigungen. Sie verwenden die ROSA CLI, um diese Richtlinien zu erstellen und sie an Servicerollen in Ihrem anzuhängen AWS-Konto. ROSA erfordert, dass diese Richtlinien so konfiguriert sind, wie sie vom Service definiert wurden, um einen kontinuierlichen Betrieb und Servicesupport zu gewährleisten.
**Anmerkung**
Sie sollten die Richtlinien von ROSA Classic nicht ändern, ohne vorher Red Hat konsultiert zu haben. Andernfalls kann das Service-Level-Agreement von Red Hat für eine Verfügbarkeit von 99,95% für Cluster unwirksam werden. ROSA mit gehosteten Kontrollebenen verwendet AWS verwaltete Richtlinien mit eingeschränkteren Berechtigungen. Weitere Informationen finden Sie unter [AWS verwaltete Richtlinien für ROSA](security-iam-awsmanpol.md).
Es gibt zwei Arten von vom Kunden verwalteten Richtlinien für ROSA: Kontorichtlinien und Betreiberrichtlinien. Kontorichtlinien sind IAM Rollen zugeordnet, die der Service verwendet, um eine Vertrauensbeziehung mit Red Hat für den Support durch Site Reliability Engineer (SRE), die Clustererstellung und Rechenfunktionen aufzubauen. Operator-Richtlinien sind IAM Rollen zugeordnet, die OpenShift Operatoren für Cluster-Operationen in den Bereichen Ingress, Speicherung, Image-Registry und Node-Management verwenden. Kontorichtlinien werden einmal pro Cluster erstellt AWS-Konto, wohingegen Betreiberrichtlinien einmal pro Cluster erstellt werden.
Weitere Informationen erhalten Sie unter [Klassische Kontorichtlinien von ROSA](security-iam-rosa-classic-account-policies.md) und [Die klassischen ROSA-Betreiberrichtlinien](security-iam-rosa-classic-operator-policies.md).
## Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
Dieses Beispiel zeigt, wie Sie eine Richtlinie erstellen könnten, die es ermöglicht, IAM-Benutzer die internen und verwalteten Richtlinien anzuzeigen, die mit ihrer Benutzeridentität verknüpft sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe von. AWS CLI
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Effect": "Allow",
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
# Klassische Kontorichtlinien von ROSA
Dieser Abschnitt enthält Einzelheiten zu den Kontorichtlinien, die für ROSA classic erforderlich sind. Diese Berechtigungen sind für ROSA classic erforderlich, um die AWS Ressourcen zu verwalten, auf denen Cluster ausgeführt werden, und um den Red Hat Site Reliability Engineer Support für Cluster zu aktivieren. Sie können den Richtliniennamen ein benutzerdefiniertes Präfix zuweisen, aber diese Richtlinien sollten ansonsten wie auf dieser Seite definiert benannt werden (z. B.`ManagedOpenShift-Installer-Role-Policy`).
Die Kontorichtlinien gelten nur für eine OpenShift Nebenversion und sind abwärtskompatibel. Bevor Sie einen Cluster erstellen oder aktualisieren, sollten Sie überprüfen, ob die Richtlinienversion und die Clusterversion identisch sind, indem Sie Folgendes ausführen`rosa list account-roles`. Wenn die Richtlinienversion niedriger als die Clusterversion ist, führen Sie die Ausführung aus, `rosa upgrade account-roles` um die Rollen und die angehängten Richtlinien zu aktualisieren. Sie können dieselben Kontorichtlinien und Rollen für mehrere Cluster derselben Nebenversion verwenden.
## [Präfix] -Installer-Role-Policy
Sie können `[Prefix]-Installer-Role-Policy` an Ihre IAM-Entitäten anhängen. Bevor Sie einen klassischen ROSA-Cluster erstellen können, müssen Sie diese Richtlinie zunächst einer IAM-Rolle mit dem Namen zuordnen. `[Prefix]-Installer-Role` Diese Richtlinie gewährt die erforderlichen Berechtigungen, mit denen das ROSA Installationsprogramm die AWS Ressourcen verwalten kann, die für die Clustererstellung benötigt werden.
### Berechtigungsrichtlinie
Die in diesem Richtliniendokument definierten Berechtigungen geben an, welche Aktionen zulässig oder verweigert werden.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"autoscaling:DescribeAutoScalingGroups",
"ec2:AllocateAddress",
"ec2:AssociateAddress",
"ec2:AssociateDhcpOptions",
"ec2:AssociateRouteTable",
"ec2:AttachInternetGateway",
"ec2:AttachNetworkInterface",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CopyImage",
"ec2:CreateDhcpOptions",
"ec2:CreateInternetGateway",
"ec2:CreateNatGateway",
"ec2:CreateNetworkInterface",
"ec2:CreateRoute",
"ec2:CreateRouteTable",
"ec2:CreateSecurityGroup",
"ec2:CreateSubnet",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:CreateVpc",
"ec2:CreateVpcEndpoint",
"ec2:DeleteDhcpOptions",
"ec2:DeleteInternetGateway",
"ec2:DeleteNatGateway",
"ec2:DeleteNetworkInterface",
"ec2:DeleteRoute",
"ec2:DeleteRouteTable",
"ec2:DeleteSecurityGroup",
"ec2:DeleteSnapshot",
"ec2:DeleteSubnet",
"ec2:DeleteTags",
"ec2:DeleteVolume",
"ec2:DeleteVpc",
"ec2:DeleteVpcEndpoints",
"ec2:DeregisterImage",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAddresses",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeDhcpOptions",
"ec2:DescribeImages",
"ec2:DescribeInstanceAttribute",
"ec2:DescribeInstanceCreditSpecifications",
"ec2:DescribeInstances",
"ec2:DescribeInstanceStatus",
"ec2:DescribeInstanceTypeOfferings",
"ec2:DescribeInstanceTypes",
"ec2:DescribeInternetGateways",
"ec2:DescribeKeyPairs",
"ec2:DescribeNatGateways",
"ec2:DescribeNetworkAcls",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribePrefixLists",
"ec2:DescribeRegions",
"ec2:DescribeReservedInstancesOfferings",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSecurityGroupRules",
"ec2:DescribeSubnets",
"ec2:DescribeTags",
"ec2:DescribeVolumes",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcClassicLink",
"ec2:DescribeVpcClassicLinkDnsSupport",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcs",
"ec2:DetachInternetGateway",
"ec2:DisassociateRouteTable",
"ec2:GetConsoleOutput",
"ec2:GetEbsDefaultKmsKeyId",
"ec2:ModifyInstanceAttribute",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:ModifySubnetAttribute",
"ec2:ModifyVpcAttribute",
"ec2:ReleaseAddress",
"ec2:ReplaceRouteTableAssociation",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:RunInstances",
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:TerminateInstances",
"elasticloadbalancing:AddTags",
"elasticloadbalancing:ApplySecurityGroupsToLoadBalancer",
"elasticloadbalancing:AttachLoadBalancerToSubnets",
"elasticloadbalancing:ConfigureHealthCheck",
"elasticloadbalancing:CreateListener",
"elasticloadbalancing:CreateLoadBalancer",
"elasticloadbalancing:CreateLoadBalancerListeners",
"elasticloadbalancing:CreateTargetGroup",
"elasticloadbalancing:DeleteLoadBalancer",
"elasticloadbalancing:DeleteTargetGroup",
"elasticloadbalancing:DeregisterInstancesFromLoadBalancer",
"elasticloadbalancing:DeregisterTargets",
"elasticloadbalancing:DescribeAccountLimits",
"elasticloadbalancing:DescribeInstanceHealth",
"elasticloadbalancing:DescribeListeners",
"elasticloadbalancing:DescribeLoadBalancerAttributes",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeTags",
"elasticloadbalancing:DescribeTargetGroupAttributes",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeTargetHealth",
"elasticloadbalancing:ModifyLoadBalancerAttributes",
"elasticloadbalancing:ModifyTargetGroup",
"elasticloadbalancing:ModifyTargetGroupAttributes",
"elasticloadbalancing:RegisterInstancesWithLoadBalancer",
"elasticloadbalancing:RegisterTargets",
"elasticloadbalancing:SetLoadBalancerPoliciesOfListener",
"iam:AddRoleToInstanceProfile",
"iam:CreateInstanceProfile",
"iam:DeleteInstanceProfile",
"iam:GetInstanceProfile",
"iam:TagInstanceProfile",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:GetUser",
"iam:ListAttachedRolePolicies",
"iam:ListInstanceProfiles",
"iam:ListInstanceProfilesForRole",
"iam:ListRolePolicies",
"iam:ListRoles",
"iam:ListUserPolicies",
"iam:ListUsers",
"iam:RemoveRoleFromInstanceProfile",
"iam:SimulatePrincipalPolicy",
"iam:TagRole",
"iam:UntagRole",
"route53:ChangeResourceRecordSets",
"route53:ChangeTagsForResource",
"route53:CreateHostedZone",
"route53:DeleteHostedZone",
"route53:GetAccountLimit",
"route53:GetChange",
"route53:GetHostedZone",
"route53:ListHostedZones",
"route53:ListHostedZonesByName",
"route53:ListResourceRecordSets",
"route53:ListTagsForResource",
"route53:UpdateHostedZoneComment",
"s3:CreateBucket",
"s3:DeleteBucket",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:GetAccelerateConfiguration",
"s3:GetBucketAcl",
"s3:GetBucketCORS",
"s3:GetBucketLocation",
"s3:GetBucketLogging",
"s3:GetBucketObjectLockConfiguration",
"s3:GetBucketPolicy",
"s3:GetReplicationConfiguration",
"s3:GetBucketRequestPayment",
"s3:GetBucketTagging",
"s3:GetBucketVersioning",
"s3:GetBucketWebsite",
"s3:GetEncryptionConfiguration",
"s3:GetLifecycleConfiguration",
"s3:GetObject",
"s3:GetObjectAcl",
"s3:GetObjectTagging",
"s3:GetObjectVersion",
"s3:GetReplicationConfiguration",
"s3:ListBucket",
"s3:ListBucketVersions",
"s3:PutBucketAcl",
"s3:PutBucketTagging",
"s3:PutBucketVersioning",
"s3:PutEncryptionConfiguration",
"s3:PutObject",
"s3:PutObjectAcl",
"s3:PutObjectTagging",
"servicequotas:GetServiceQuota",
"servicequotas:ListAWSDefaultServiceQuotas",
"sts:AssumeRole",
"sts:AssumeRoleWithWebIdentity",
"sts:GetCallerIdentity",
"tag:GetResources",
"tag:UntagResources",
"ec2:CreateVpcEndpointServiceConfiguration",
"ec2:DeleteVpcEndpointServiceConfigurations",
"ec2:DescribeVpcEndpointServiceConfigurations",
"ec2:DescribeVpcEndpointServicePermissions",
"ec2:DescribeVpcEndpointServices",
"ec2:ModifyVpcEndpointServicePermissions",
"kms:DescribeKey",
"cloudwatch:GetMetricData"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"secretsmanager:GetSecretValue"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/red-hat-managed": "true"
}
}
}
]
}
```
## [Präfix] — ControlPlane -Role-Policy
Sie können `[Prefix]-ControlPlane-Role-Policy` an Ihre IAM-Entitäten anhängen. Bevor Sie einen klassischen ROSA-Cluster erstellen können, müssen Sie diese Richtlinie zunächst einer IAM-Rolle mit dem Namen zuordnen. `[Prefix]-ControlPlane-Role` Diese Richtlinie gewährt ROSA classic die erforderlichen Berechtigungen zur Verwaltung Amazon EC2 und zum Hosten der ROSA Steuerungsebene sowie zum Lesen KMS keys von Elastic Load Balancing Ressourcen.
### Berechtigungsrichtlinie
Die in diesem Richtliniendokument definierten Berechtigungen geben an, welche Aktionen zulässig oder verweigert werden.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ec2:AttachVolume",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:DeleteSecurityGroup",
"ec2:DeleteVolume",
"ec2:Describe*",
"ec2:DetachVolume",
"ec2:ModifyInstanceAttribute",
"ec2:ModifyVolume",
"ec2:RevokeSecurityGroupIngress",
"elasticloadbalancing:AddTags",
"elasticloadbalancing:AttachLoadBalancerToSubnets",
"elasticloadbalancing:ApplySecurityGroupsToLoadBalancer",
"elasticloadbalancing:CreateListener",
"elasticloadbalancing:CreateLoadBalancer",
"elasticloadbalancing:CreateLoadBalancerPolicy",
"elasticloadbalancing:CreateLoadBalancerListeners",
"elasticloadbalancing:CreateTargetGroup",
"elasticloadbalancing:ConfigureHealthCheck",
"elasticloadbalancing:DeleteListener",
"elasticloadbalancing:DeleteLoadBalancer",
"elasticloadbalancing:DeleteLoadBalancerListeners",
"elasticloadbalancing:DeleteTargetGroup",
"elasticloadbalancing:DeregisterInstancesFromLoadBalancer",
"elasticloadbalancing:DeregisterTargets",
"elasticloadbalancing:Describe*",
"elasticloadbalancing:DetachLoadBalancerFromSubnets",
"elasticloadbalancing:ModifyListener",
"elasticloadbalancing:ModifyLoadBalancerAttributes",
"elasticloadbalancing:ModifyTargetGroup",
"elasticloadbalancing:ModifyTargetGroupAttributes",
"elasticloadbalancing:RegisterInstancesWithLoadBalancer",
"elasticloadbalancing:RegisterTargets",
"elasticloadbalancing:SetLoadBalancerPoliciesForBackendServer",
"elasticloadbalancing:SetLoadBalancerPoliciesOfListener",
"kms:DescribeKey"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
## [Präfix] -Worker-Role-Policy
Sie können `[Prefix]-Worker-Role-Policy` an Ihre IAM-Entitäten anhängen. Bevor Sie einen klassischen ROSA-Cluster erstellen können, müssen Sie diese Richtlinie zunächst einer IAM-Rolle mit dem Namen zuordnen. `[Prefix]-Worker-Role` Diese Richtlinie gewährt ROSA classic die erforderlichen Berechtigungen, um die EC2-Instances zu beschreiben, die als Worker-Knoten ausgeführt werden.
### Berechtigungsrichtlinie
Die in diesem Richtliniendokument definierten Berechtigungen geben an, welche Aktionen zulässig oder verweigert werden.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeRegions"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
## [Präfix] -Support-Role-Policy
Sie können `[Prefix]-Support-Role-Policy` an Ihre IAM-Entitäten anhängen. Bevor Sie einen klassischen ROSA-Cluster erstellen können, müssen Sie diese Richtlinie zunächst einer IAM-Rolle mit dem Namen zuordnen. `[Prefix]-Support-Role` Diese Richtlinie gewährt Red Hat Site Reliability Engineering die erforderlichen Berechtigungen zur Beobachtung, Diagnose und Unterstützung der AWS Ressourcen, die von den klassischen ROSA-Clustern verwendet werden, einschließlich der Möglichkeit, den Status von Clusterknoten zu ändern.
### Berechtigungsrichtlinie
Die in diesem Richtliniendokument definierten Berechtigungen geben an, welche Aktionen zulässig oder verweigert werden.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"cloudtrail:DescribeTrails",
"cloudtrail:LookupEvents",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"ec2-instance-connect:SendSerialConsoleSSHPublicKey",
"ec2:CopySnapshot",
"ec2:CreateNetworkInsightsPath",
"ec2:CreateSnapshot",
"ec2:CreateSnapshots",
"ec2:CreateTags",
"ec2:DeleteNetworkInsightsAnalysis",
"ec2:DeleteNetworkInsightsPath",
"ec2:DeleteTags",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAddresses",
"ec2:DescribeAddressesAttribute",
"ec2:DescribeAggregateIdFormat",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeByoipCidrs",
"ec2:DescribeCapacityReservations",
"ec2:DescribeCarrierGateways",
"ec2:DescribeClassicLinkInstances",
"ec2:DescribeClientVpnAuthorizationRules",
"ec2:DescribeClientVpnConnections",
"ec2:DescribeClientVpnEndpoints",
"ec2:DescribeClientVpnRoutes",
"ec2:DescribeClientVpnTargetNetworks",
"ec2:DescribeCoipPools",
"ec2:DescribeCustomerGateways",
"ec2:DescribeDhcpOptions",
"ec2:DescribeEgressOnlyInternetGateways",
"ec2:DescribeIamInstanceProfileAssociations",
"ec2:DescribeIdentityIdFormat",
"ec2:DescribeIdFormat",
"ec2:DescribeImageAttribute",
"ec2:DescribeImages",
"ec2:DescribeInstanceAttribute",
"ec2:DescribeInstances",
"ec2:DescribeInstanceStatus",
"ec2:DescribeInstanceTypeOfferings",
"ec2:DescribeInstanceTypes",
"ec2:DescribeInternetGateways",
"ec2:DescribeIpv6Pools",
"ec2:DescribeKeyPairs",
"ec2:DescribeLaunchTemplates",
"ec2:DescribeLocalGatewayRouteTables",
"ec2:DescribeLocalGatewayRouteTableVirtualInterfaceGroupAssociations",
"ec2:DescribeLocalGatewayRouteTableVpcAssociations",
"ec2:DescribeLocalGateways",
"ec2:DescribeLocalGatewayVirtualInterfaceGroups",
"ec2:DescribeLocalGatewayVirtualInterfaces",
"ec2:DescribeManagedPrefixLists",
"ec2:DescribeNatGateways",
"ec2:DescribeNetworkAcls",
"ec2:DescribeNetworkInsightsAnalyses",
"ec2:DescribeNetworkInsightsPaths",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribePlacementGroups",
"ec2:DescribePrefixLists",
"ec2:DescribePrincipalIdFormat",
"ec2:DescribePublicIpv4Pools",
"ec2:DescribeRegions",
"ec2:DescribeReservedInstances",
"ec2:DescribeRouteTables",
"ec2:DescribeScheduledInstances",
"ec2:DescribeSecurityGroupReferences",
"ec2:DescribeSecurityGroupRules",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSnapshotAttribute",
"ec2:DescribeSnapshots",
"ec2:DescribeSpotFleetInstances",
"ec2:DescribeStaleSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeTags",
"ec2:DescribeTransitGatewayAttachments",
"ec2:DescribeTransitGatewayConnectPeers",
"ec2:DescribeTransitGatewayConnects",
"ec2:DescribeTransitGatewayMulticastDomains",
"ec2:DescribeTransitGatewayPeeringAttachments",
"ec2:DescribeTransitGatewayRouteTables",
"ec2:DescribeTransitGateways",
"ec2:DescribeTransitGatewayVpcAttachments",
"ec2:DescribeVolumeAttribute",
"ec2:DescribeVolumes",
"ec2:DescribeVolumesModifications",
"ec2:DescribeVolumeStatus",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcClassicLink",
"ec2:DescribeVpcClassicLinkDnsSupport",
"ec2:DescribeVpcEndpointConnectionNotifications",
"ec2:DescribeVpcEndpointConnections",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcEndpointServiceConfigurations",
"ec2:DescribeVpcEndpointServicePermissions",
"ec2:DescribeVpcEndpointServices",
"ec2:DescribeVpcPeeringConnections",
"ec2:DescribeVpcs",
"ec2:DescribeVpnConnections",
"ec2:DescribeVpnGateways",
"ec2:GetAssociatedIpv6PoolCidrs",
"ec2:GetConsoleOutput",
"ec2:GetManagedPrefixListEntries",
"ec2:GetSerialConsoleAccessStatus",
"ec2:GetTransitGatewayAttachmentPropagations",
"ec2:GetTransitGatewayMulticastDomainAssociations",
"ec2:GetTransitGatewayPrefixListReferences",
"ec2:GetTransitGatewayRouteTableAssociations",
"ec2:GetTransitGatewayRouteTablePropagations",
"ec2:ModifyInstanceAttribute",
"ec2:RebootInstances",
"ec2:RunInstances",
"ec2:SearchLocalGatewayRoutes",
"ec2:SearchTransitGatewayMulticastGroups",
"ec2:SearchTransitGatewayRoutes",
"ec2:StartInstances",
"ec2:StartNetworkInsightsAnalysis",
"ec2:StopInstances",
"ec2:TerminateInstances",
"elasticloadbalancing:ConfigureHealthCheck",
"elasticloadbalancing:DescribeAccountLimits",
"elasticloadbalancing:DescribeInstanceHealth",
"elasticloadbalancing:DescribeListenerCertificates",
"elasticloadbalancing:DescribeListeners",
"elasticloadbalancing:DescribeLoadBalancerAttributes",
"elasticloadbalancing:DescribeLoadBalancerPolicies",
"elasticloadbalancing:DescribeLoadBalancerPolicyTypes",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeRules",
"elasticloadbalancing:DescribeSSLPolicies",
"elasticloadbalancing:DescribeTags",
"elasticloadbalancing:DescribeTargetGroupAttributes",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeTargetHealth",
"iam:GetRole",
"iam:ListRoles",
"kms:CreateGrant",
"route53:GetHostedZone",
"route53:GetHostedZoneCount",
"route53:ListHostedZones",
"route53:ListHostedZonesByName",
"route53:ListResourceRecordSets",
"s3:GetBucketTagging",
"s3:GetObjectAcl",
"s3:GetObjectTagging",
"s3:ListAllMyBuckets",
"sts:DecodeAuthorizationMessage",
"tiros:CreateQuery",
"tiros:GetQueryAnswer",
"tiros:GetQueryExplanation"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"s3:ListBucket"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::managed-velero*",
"arn:aws:s3:::*image-registry*"
]
}
]
}
```
# Die klassischen ROSA-Betreiberrichtlinien
Dieser Abschnitt enthält Einzelheiten zu den Betreiberrichtlinien, die für ROSA classic erforderlich sind. Bevor Sie einen ROSA Classic-Cluster erstellen können, müssen Sie diese Richtlinien zunächst den entsprechenden Operatorrollen zuordnen. Für jeden Cluster ist ein eigener Satz von Operatorrollen erforderlich.
Diese Berechtigungen werden benötigt, damit die OpenShift Betreiber die klassischen ROSA-Clusterknoten verwalten können. Sie können den Richtliniennamen ein benutzerdefiniertes Präfix zuweisen, um die Richtlinienverwaltung zu vereinfachen (z. B.`ManagedOpenShift-openshift-ingress-operator-cloud-credentials`).
## [Präfix] openshift-ingress-operator-cloud — Anmeldeinformationen
Sie können `[Prefix]-openshift-ingress-operator-cloud-credentials` an Ihre IAM-Entitäten anhängen. Diese Richtlinie gewährt dem Ingress-Operator die erforderlichen Berechtigungen zur Bereitstellung und Verwaltung von Load Balancers und DNS-Konfigurationen für den externen Clusterzugriff. Die Richtlinie ermöglicht es dem Ingress-Operator auch, Route 53 Ressourcen-Tag-Werte zu lesen und zu filtern, um gehostete Zonen zu ermitteln. Weitere Informationen zum Operator finden Sie in der Dokumentation unter [OpenShift Ingress-Operator](https://github.com/openshift/cluster-ingress-operator). OpenShift GitHub
### Berechtigungsrichtlinie
In diesem Richtliniendokument definierte Berechtigungen geben an, welche Aktionen zulässig oder verweigert werden.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"elasticloadbalancing:DescribeLoadBalancers",
"route53:ListHostedZones",
"route53:ListTagsForResources",
"route53:ChangeResourceRecordSets",
"tag:GetResources"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
## [Präfix] - openshift-cluster-csi-drivers - ebs-cloud-credentials
Sie können `[Prefix]-openshift-cluster-csi-drivers-ebs-cloud-credentials` an Ihre IAM-Entitäten anhängen. Diese Richtlinie gewährt dem Amazon EBS CSI-Treiberoperator die erforderlichen Berechtigungen zur Installation und Wartung des Amazon EBS CSI-Treibers auf einem ROSA Classic-Cluster. Weitere Informationen zum Operator finden Sie in der OpenShift GitHub Dokumentation unter [aws-ebs-csi-driver-operator](https://github.com/openshift/aws-ebs-csi-driver-operator#aws-ebs-csi-driver-operator).
### Berechtigungsrichtlinie
In diesem Richtliniendokument definierte Berechtigungen geben an, welche Aktionen zulässig oder verweigert werden.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ec2:AttachVolume",
"ec2:CreateSnapshot",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:DeleteSnapshot",
"ec2:DeleteTags",
"ec2:DeleteVolume",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeInstances",
"ec2:DescribeSnapshots",
"ec2:DescribeTags",
"ec2:DescribeVolumes",
"ec2:DescribeVolumesModifications",
"ec2:DetachVolume",
"ec2:EnableFastSnapshotRestores",
"ec2:ModifyVolume"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
## [Präfix] — openshift-machine-api-aws -cloud-credentials
Sie können `[Prefix]-openshift-machine-api-aws-cloud-credentials` an Ihre IAM-Entitäten anhängen. Diese Richtlinie gewährt dem Machine Config Operator die erforderlichen Berechtigungen, um Amazon EC2 Instanzen zu beschreiben, auszuführen und zu beenden, die als Worker-Knoten verwaltet werden. Diese Richtlinie gewährt auch Berechtigungen für die Festplattenverschlüsselung des Root-Volumes des Worker-Knotens mithilfe von AWS KMS keys. Weitere Informationen zum Operator finden Sie [machine-config-operator](https://github.com/openshift/machine-config-operator)in der OpenShift GitHub Dokumentation.
### Berechtigungsrichtlinie
In diesem Richtliniendokument definierte Berechtigungen geben an, welche Aktionen zulässig oder verweigert werden.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ec2:CreateTags",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeDhcpOptions",
"ec2:DescribeImages",
"ec2:DescribeInstances",
"ec2:DescribeInternetGateways",
"ec2:DescribeInstanceTypes",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRegions",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:RunInstances",
"ec2:TerminateInstances",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeTargetHealth",
"elasticloadbalancing:RegisterInstancesWithLoadBalancer",
"elasticloadbalancing:RegisterTargets",
"elasticloadbalancing:DeregisterTargets",
"iam:CreateServiceLinkedRole"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKey",
"kms:GenerateDataKeyWithoutPlainText",
"kms:DescribeKey"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"kms:RevokeGrant",
"kms:CreateGrant",
"kms:ListGrants"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
}
]
}
```
## [Präfix] — openshift-cloud-credential-operator -cloud-credentials
Sie können `[Prefix]-openshift-cloud-credential-operator-cloud-credentials` an Ihre IAM-Entitäten anhängen. Diese Richtlinie gewährt dem Cloud Credential Operator die erforderlichen Berechtigungen zum Abrufen von IAM-Benutzer Details, einschließlich des Zugriffsschlüssels IDs, angehängter Inline-Richtliniendokumente, des Erstellungsdatums, des Pfads, der Benutzer-ID und des Amazon-Ressourcennamens (ARN). Weitere Informationen zum Betreiber finden Sie [cloud-credential-operator](https://github.com/openshift/cloud-credential-operator)in der OpenShift GitHub Dokumentation.
### Berechtigungsrichtlinie
In diesem Richtliniendokument definierte Berechtigungen geben an, welche Aktionen zulässig oder verweigert werden.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iam:GetUser",
"iam:GetUserPolicy",
"iam:ListAccessKeys"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
## [Präfix] — openshift-image-registry-installer -cloud-credentials
Sie können `[Prefix]-openshift-image-registry-installer-cloud-credentials` an Ihre IAM-Entitäten anhängen. Diese Richtlinie gewährt dem Image Registry Operator die erforderlichen Berechtigungen zur Bereitstellung und Verwaltung von Ressourcen für die Cluster-interne Image-Registry und die abhängigen Dienste von ROSA classic, darunter. Amazon S3 Dies ist erforderlich, damit der Betreiber die interne Registrierung eines ROSA Classic-Clusters installieren und verwalten kann. Weitere Informationen zum Operator finden Sie in der OpenShift GitHub Dokumentation unter [Image Registry Operator](https://github.com/openshift/cluster-image-registry-operator#image-registry-operator).
### Berechtigungsrichtlinie
In diesem Richtliniendokument definierte Berechtigungen geben an, welche Aktionen zulässig oder verweigert werden.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"s3:CreateBucket",
"s3:DeleteBucket",
"s3:PutBucketTagging",
"s3:GetBucketTagging",
"s3:PutBucketPublicAccessBlock",
"s3:GetBucketPublicAccessBlock",
"s3:PutEncryptionConfiguration",
"s3:GetEncryptionConfiguration",
"s3:PutLifecycleConfiguration",
"s3:GetLifecycleConfiguration",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:ListBucketMultipartUploads",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
## [Präfix] - openshift-cloud-network-config - controller-cloud-cr
Sie können `[Prefix]-openshift-cloud-network-config-controller-cloud-cr` an Ihre IAM-Entitäten anhängen. Diese Richtlinie gewährt dem Cloud Network Config Controller Operator die erforderlichen Berechtigungen zur Bereitstellung und Verwaltung von Netzwerkressourcen für die Verwendung durch das ROSA Classic Cluster Networking Overlay. Der Betreiber verwendet diese Berechtigungen, um private IP-Adressen für Amazon EC2 Instanzen als Teil des ROSA Classic-Clusters zu verwalten. Weitere Informationen zum Operator finden Sie loud-network-config-controller in der OpenShift GitHub Dokumentation unter [C.](https://github.com/openshift/cloud-network-config-controller#cloud-network-config-controller-cncc)
### Berechtigungsrichtlinie
In diesem Richtliniendokument definierte Berechtigungen geben an, welche Aktionen zulässig oder verweigert werden.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeInstanceStatus",
"ec2:DescribeInstanceTypes",
"ec2:UnassignPrivateIpAddresses",
"ec2:AssignPrivateIpAddresses",
"ec2:UnassignIpv6Addresses",
"ec2:AssignIpv6Addresses",
"ec2:DescribeSubnets",
"ec2:DescribeNetworkInterfaces"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
# AWS verwaltete Richtlinien für ROSA
Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS. AWS Verwaltete Richtlinien dienen dazu, Berechtigungen für viele gängige Anwendungsfälle bereitzustellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.
Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie [vom Kunden verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.
Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden. Weitere Informationen finden Sie im * IAM Benutzerhandbuch* unter [AWS Verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies).
## AWS verwaltete Richtlinie: ROSAManage Abonnement
Sie können die `ROSAManageSubscription` Richtlinie an Ihre IAM Entitäten anhängen. Bevor Sie sie ROSA in der AWS ROSA Konsole aktivieren, müssen Sie diese Richtlinie zunächst einer IAM-Rolle zuordnen.
Diese Richtlinie gewährt Ihnen die AWS Marketplace Berechtigungen, die Sie zur Verwaltung des ROSA Abonnements benötigen.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `aws-marketplace:Subscribe`- Erteilt die Erlaubnis, das AWS Marketplace Produkt zu abonnieren für ROSA.
+ `aws-marketplace:Unsubscribe`- Ermöglicht Prinzipalen, Abonnements für AWS Marketplace Produkte zu entfernen.
+ `aws-marketplace:ViewSubscriptions`- Ermöglicht Prinzipalen das Anzeigen von Abonnements von. AWS Marketplace Dies ist erforderlich, damit der IAM Principal die verfügbaren AWS Marketplace Abonnements einsehen kann.
Das vollständige JSON-Richtliniendokument finden Sie unter [ROSAManageAbonnement](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAManageSubscription.html) im *Referenzhandbuch für AWS verwaltete Richtlinien*.
## ROSA mit HCP-Kontorichtlinien
Dieser Abschnitt enthält Einzelheiten zu den Kontorichtlinien, die für ROSA mit Hosted Control Planes (HCP) erforderlich sind. Diese AWS verwalteten Richtlinien fügen Berechtigungen hinzu, die von ROSA mit HCP-IAM-Rollen verwendet werden. Die Berechtigungen sind für den technischen Support von Red Hat Site Reliability Engineering (SRE), die Cluster-Installation sowie die Funktionen der Steuerungsebene und der Rechenleistung erforderlich.
**Anmerkung**
AWS verwaltete Richtlinien sind für die Verwendung durch ROSA mit Hosted Control Planes (HCP) vorgesehen. Die klassischen ROSA-Cluster verwenden vom Kunden verwaltete IAM-Richtlinien. Weitere Informationen zu den klassischen ROSA-Richtlinien finden Sie unter [Klassische Kontorichtlinien von ROSA](security-iam-rosa-classic-account-policies.md) und[Die klassischen ROSA-Betreiberrichtlinien](security-iam-rosa-classic-operator-policies.md).
### AWS verwaltete Richtlinie: ROSAWorker InstancePolicy
Sie können sie `ROSAWorkerInstancePolicy` an Ihre IAM Entitäten anhängen. Bevor Sie einen Cluster erstellen, müssen Sie über eine IAM-Rolle verfügen, der diese Richtlinie zugewiesen ist. Ein ROSA-Dienst ruft in Ihrem Namen andere AWS-Services an. Sie tun dies, um die Ressourcen zu verwalten, die Sie mit den einzelnen Clustern verwenden.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen, mit denen die ROSA-Worker-Knoten die folgenden Aufgaben ausführen können:
+ `ec2`— Evaluierung AWS-Region und Amazon EC2 Instanzierung von Details im Rahmen des Lebenszyklusmanagements für ROSA-Cluster Worker Nodes.
+ `ecr`- Evaluieren und Abrufen von Images aus ROSA-verwalteten ECR-Repositorys, die für die Cluster-Installation und das Worker-Node-Lebenszyklusmanagement erforderlich sind.
Das vollständige JSON-Richtliniendokument finden Sie [ROSAWorkerInstancePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAWorkerInstancePolicy.html)im Referenzhandbuch für * AWS verwaltete* Richtlinien.
### AWS verwaltete Richtlinie: ROSASRESupport Richtlinie
Sie können `ROSASRESupportPolicy` an Ihre IAM-Entitäten anhängen.
Bevor Sie eine ROSA mit einem Cluster für gehostete Steuerungsebenen erstellen, müssen Sie diese Richtlinie zunächst einer IAM-Rolle zuordnen. Diese Richtlinie gewährt Red Hat Site Reliability Engineers (SREs) die erforderlichen Berechtigungen, um AWS Ressourcen im Zusammenhang mit ROSA Clustern direkt zu beobachten, zu diagnostizieren und zu unterstützen, einschließlich der Möglichkeit, den Status von ROSA Clusterknoten zu ändern.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen, die es Red Hat SREs ermöglichen, die folgenden Aufgaben auszuführen:
+ `cloudtrail`— Lesen Sie AWS CloudTrail Ereignisse und Trails, die für den Cluster relevant sind.
+ `cloudwatch`— Lesen Sie die für den Cluster relevanten Amazon CloudWatch Metriken.
+ `ec2`— Lesen, beschreiben und überprüfen Sie Amazon EC2 Komponenten, die sich auf den Zustand des Clusters beziehen, wie Sicherheitsgruppen, VPC-Endpunktverbindungen und Volume-Status. Amazon EC2 Instances starten, stoppen, neu starten und beenden.
+ `elasticloadbalancing`— Lesen, beschreiben und überprüfen Sie Elastic Load Balancing Parameter, die sich auf den Zustand des Clusters beziehen.
+ `iam`— Evaluieren Sie IAM Rollen, die sich auf den Zustand des Clusters beziehen.
+ `route53`— Überprüfen Sie die DNS-Einstellungen, die sich auf den Zustand des Clusters beziehen.
+ `sts`— `DecodeAuthorizationMessage` — Lesen Sie IAM Nachrichten zu Debugging-Zwecken.
Das vollständige JSON-Richtliniendokument finden Sie unter [ROSASRESupportRichtlinie](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSASRESupportPolicy.html) im *Referenzhandbuch für AWS verwaltete Richtlinien.*
### AWS verwaltete Richtlinie: ROSAInstaller Richtlinie
Sie können sie `ROSAInstallerPolicy` an Ihre IAM Entitäten anhängen.
Bevor Sie eine ROSA mit einem Cluster für gehostete Steuerungsebenen erstellen, müssen Sie diese Richtlinie zunächst einer IAM-Rolle mit dem Namen `[Prefix]-ROSA-Worker-Role` zuordnen. Diese Richtlinie ermöglicht es Entitäten, einem Instanzprofil jede Rolle hinzuzufügen, die dem `[Prefix]-ROSA-Worker-Role` Muster folgt. Diese Richtlinie gewährt dem Installationsprogramm die erforderlichen Berechtigungen zur Verwaltung von AWS Ressourcen, die die ROSA Clusterinstallation unterstützen.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen, mit denen das Installationsprogramm die folgenden Aufgaben ausführen kann:
+ `ec2`— Führen Sie Amazon EC2 Instances mithilfe von AMIs Hosted in aus, das AWS-Konten Eigentum von Red Hat ist und von Red Hat verwaltet wird. Beschreiben Sie Amazon EC2 Instanzen, Volumes und Netzwerkressourcen, die mit Amazon EC2 Knoten verknüpft sind. Diese Berechtigung ist erforderlich, damit die Kubernetes-Steuerebene Instanzen zu einem Cluster zusammenfügen kann und der Cluster ihre Präsenz innerhalb eines Clusters auswerten kann. Amazon VPC Sehen Sie sich Amazon EC2 Capacity Reservations an, um die neue Funktion für Kapazitätsreservierungen in ROSA zu unterstützen. Kennzeichnen und löschen Sie Tags in Subnetzen mithilfe von passenden Tag-Schlüsseln. `"kubernetes.io/cluster/*"` Dies ist erforderlich, um sicherzustellen, dass der für den Clustereingang verwendete Load Balancer nur in den entsprechenden Subnetzen erstellt wird, und um Kubernetes-Cluster-Identifikations-Tags zu verwalten.
+ `elasticloadbalancing`— Fügen Sie Load Balancer zu Zielknoten in einem Cluster hinzu. Entfernen Sie Load Balancer von den Zielknoten auf einem Cluster. Diese Berechtigung ist erforderlich, damit die Kubernetes-Steuerebene Load Balancer dynamisch bereitstellen kann, die von Kubernetes-Diensten und Anwendungsdiensten angefordert werden. OpenShift
+ `kms`— Lesen Sie einen AWS KMS Schlüssel, erstellen und verwalten Sie Zuschüsse für und geben Sie Amazon EC2 einen eindeutigen symmetrischen Datenschlüssel zur Verwendung außerhalb von zurück. AWS KMS Dies ist für die Verwendung verschlüsselter `etcd` Daten erforderlich, wenn die `etcd` Verschlüsselung bei der Clustererstellung aktiviert ist.
+ `iam`— Überprüfen Sie die IAM-Rollen und -Richtlinien. Dynamische Bereitstellung und Verwaltung von Amazon EC2 Instanzprofilen, die für den Cluster relevant sind. Fügen Sie mithilfe der `iam:TagInstanceProfile` Berechtigung Tags zu einem IAM-Instanzprofil hinzu. Stellen Sie Fehlermeldungen für das Installationsprogramm bereit, wenn die Clusterinstallation aufgrund eines fehlenden kundenspezifischen Cluster-OIDC-Anbieters fehlschlägt.
+ `route53`— Verwaltet die Route 53 Ressourcen, die zum Erstellen von Clustern benötigt werden.
+ `servicequotas`— Evaluieren Sie die für die Erstellung eines Clusters erforderlichen Dienstkontingente.
+ `sts`— Erstellen Sie temporäre AWS STS Anmeldeinformationen für ROSA Komponenten. Gehen Sie von den Anmeldeinformationen für die Clustererstellung aus.
+ `secretsmanager`— Lesen Sie einen geheimen Wert, um die vom Kunden verwaltete OIDC-Konfiguration im Rahmen der Cluster-Bereitstellung sicher zu ermöglichen.
Das vollständige JSON-Richtliniendokument finden Sie unter [ROSAInstallerRichtlinie](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAInstallerPolicy.html) im Referenzhandbuch für * AWS verwaltete* Richtlinien.
### AWS verwaltete Richtlinie: ROSAShared VPCRoute53 Richtlinie
Sie können sie `ROSASharedVPCRoute53Policy` an Ihre IAM Entitäten anhängen. Sie müssen diese Richtlinie einer IAM-Rolle zuordnen, damit ein ROSA-Cluster Aufrufe an andere AWS-Services in gemeinsam genutzten VPC-Umgebungen tätigen kann.
Diese Richtlinie ermöglicht es dem ROSA-Installationsprogramm, Route 53 53-Datensätze zu konfigurieren. Diese Richtlinie ist für die Verwendung in einer gemeinsam genutzten VPC vorgesehen und bietet eine Teilmenge von Route 53 53-Berechtigungen, die auf gemeinsam genutzte VPC-Anwendungsfälle zugeschnitten sind.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen, mit denen das ROSA-Installationsprogramm die folgenden Aufgaben ausführen kann:
+ `route53`— Lesen Sie die DNS-Zoneninformationen und die vorhandenen DNS-Einträge, um die aktuelle DNS-Konfiguration zu verstehen. Erstellen, ändern und löschen Sie DNS-Einträge, jedoch nur für bestimmte ROSA-bezogene Domänenmuster`.hypershift.local`, einschließlich, `.openshiftapps.com` `.devshift.org``.openshiftusgov.com`, und. `.devshiftusgov.com` Fügen Sie Tags auf Route 53 53-Ressourcen für die Ressourcenverwaltung und Organisation hinzu, ändern oder entfernen Sie sie.
+ `tag`— Entdecken und Auflisten von AWS Ressourcen anhand ihrer Tags. Dies ist nützlich, um Ressourcen zu identifizieren, die von ROSA verwaltet werden.
Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter [ROSASharedVPCRoute53Richtlinie](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSASharedVPCRoute53Policy.html) im *Referenzhandbuch für AWS verwaltete Richtlinien*.
### AWS verwaltete Richtlinie: ROSAShared VPCEndpoint Richtlinie
Sie können sie `ROSASharedVPCEndpointPolicy` an Ihre IAM Entitäten anhängen. Sie müssen diese Richtlinie einer IAM-Rolle zuordnen, damit ein ROSA-Cluster Aufrufe an andere AWS-Services in gemeinsam genutzten VPC-Umgebungen tätigen kann.
Diese Richtlinie ermöglicht es dem ROSA-Installationsprogramm, VPC-Endpunkte und Sicherheitsgruppen in gemeinsam genutzten VPC-Umgebungen zu konfigurieren.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen, die es dem ROSA-Installationsprogramm ermöglichen, die folgenden Aufgaben auszuführen:
+ `ec2`— Schreibgeschützte Berechtigungen zur Beschreibung von VPC-bezogenen Ressourcen, einschließlich VPC-Endpunkten, und Sicherheitsgruppen VPCs, um die Netzwerkumgebung zu verstehen. Sicherheitsgruppen mit tagbasierten Einschränkungen erstellen, löschen und ändern, sodass ROSA Sicherheitsgruppen für Clusternetzwerke erstellen und verwalten und gleichzeitig den Betrieb auf Ressourcen beschränken kann, die mit ROSA gekennzeichnet sind. Erstellen, ändern und löschen Sie VPC-Endpoints mit tagbasierten Einschränkungen, sodass ROSA VPC-Endpunkte für private Konnektivität in gemeinsam genutzten VPC-Umgebungen erstellen und verwalten kann AWS-Services . Wenden Sie während der Erstellung Tags auf neu erstellte VPC-Endpunkte und Sicherheitsgruppen an, um eine korrekte Identifizierung und Verwaltung der Ressourcen zu gewährleisten.
Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter [ROSASharedVPCEndpointRichtlinie](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSASharedVPCEndpointPolicy.html) im *Referenzhandbuch für AWS verwaltete Richtlinien.*
## ROSA mit HCP-Betreiberrichtlinien
Dieser Abschnitt enthält Einzelheiten zu den Betreiberrichtlinien, die für ROSA mit Hosted Control Planes (HCP) erforderlich sind. Sie können diese AWS verwalteten Richtlinien den Operatorrollen zuordnen, die für die Verwendung von ROSA mit HCP erforderlich sind. Die Berechtigungen sind erforderlich, damit OpenShift Betreiber ROSA mit HCP-Clusterknoten verwalten können.
**Anmerkung**
AWS verwaltete Richtlinien sind für die Verwendung durch ROSA mit Hosted Control Planes (HCP) vorgesehen. Die klassischen ROSA-Cluster verwenden vom Kunden verwaltete IAM-Richtlinien. Weitere Informationen zu den klassischen ROSA-Richtlinien finden Sie unter [Klassische Kontorichtlinien von ROSA](security-iam-rosa-classic-account-policies.md) und[Die klassischen ROSA-Betreiberrichtlinien](security-iam-rosa-classic-operator-policies.md).
### AWS verwaltete Richtlinie: ROSAAmazon EBSCSIDriver OperatorPolicy
Sie können sie `ROSAAmazonEBSCSIDriverOperatorPolicy` an Ihre IAM Entitäten anhängen. Sie müssen diese Richtlinie einer Operator-IAM-Rolle zuordnen, damit ein ROSA-Cluster mit gehosteten Steuerungsebenen Anrufe an andere AWS-Services vornehmen kann. Für jeden Cluster ist ein eigener Satz von Operatorrollen erforderlich.
Diese Richtlinie gewährt dem Amazon EBS CSI-Treiberoperator die erforderlichen Berechtigungen zur Installation und Wartung des Amazon EBS CSI-Treibers auf einem ROSA Cluster. Weitere Informationen zum Operator finden Sie in der OpenShift GitHub Dokumentation unter [aws-ebs-csi-driver Operator](https://github.com/openshift/aws-ebs-csi-driver-operator#aws-ebs-csi-driver-operator).
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen, mit denen der Amazon EBS Fahreroperator die folgenden Aufgaben ausführen kann:
+ `ec2`— Amazon EBS Volumes, die an Amazon EC2 Instanzen angehängt sind, erstellen, ändern, anhängen, trennen und löschen. Erstellen und löschen Sie Amazon EBS Volume-Snapshots und listen Sie Amazon EC2 Instances, Volumes und Snapshots auf.
Das vollständige JSON-Richtliniendokument finden Sie [ROSAAmazonEBSCSIDriverOperatorPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAAmazonEBSCSIDriverOperatorPolicy.html)im *Referenzhandbuch für AWS verwaltete Richtlinien.*
### AWS verwaltete Richtlinie: ROSAIngress OperatorPolicy
Sie können sie `ROSAIngressOperatorPolicy` an Ihre IAM Entitäten anhängen. Sie müssen diese Richtlinie einer Operator-IAM-Rolle zuordnen, damit ein ROSA-Cluster mit gehosteten Steuerungsebenen Anrufe an andere AWS-Services vornehmen kann. Für jeden Cluster ist ein eigener Satz von Operatorrollen erforderlich.
Diese Richtlinie gewährt dem Ingress-Operator die erforderlichen Berechtigungen zur Bereitstellung und Verwaltung von Load Balancern und DNS-Konfigurationen für ROSA Cluster. Die Richtlinie ermöglicht den Lesezugriff auf Tag-Werte. Der Operator filtert dann die Tag-Werte nach Route 53 Ressourcen, um gehostete Zonen zu erkennen. Weitere Informationen zum Operator finden Sie in der OpenShift GitHub Dokumentation unter [OpenShift Ingress Operator](https://github.com/openshift/cluster-ingress-operator#openshift-ingress-operator).
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen, die es dem Ingress-Operator ermöglichen, die folgenden Aufgaben auszuführen:
+ `elasticloadbalancing`— Beschreiben Sie den Status der bereitgestellten Load Balancer.
+ `route53`— Route 53 Listet gehostete Zonen auf und bearbeitet Einträge, die das vom ROSA-Cluster kontrollierte DNS verwalten.
+ `tag`— Verwaltet markierte Ressourcen mithilfe der entsprechenden `tag:GetResources` Berechtigung.
Das vollständige JSON-Richtliniendokument finden Sie [ROSAIngressOperatorPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAIngressOperatorPolicy.html)im *Referenzhandbuch für AWS verwaltete Richtlinien*.
### AWS verwaltete Richtlinie: ROSAImage RegistryOperatorPolicy
Sie können sie `ROSAImageRegistryOperatorPolicy` an Ihre IAM Entitäten anhängen. Sie müssen diese Richtlinie einer Operator-IAM-Rolle zuordnen, damit ein ROSA-Cluster mit gehosteten Steuerungsebenen Anrufe an andere AWS-Services vornehmen kann. Für jeden Cluster ist ein eigener Satz von Operatorrollen erforderlich.
Diese Richtlinie gewährt dem Image Registry Operator die erforderlichen Berechtigungen zur Bereitstellung und Verwaltung von Ressourcen für die ROSA Cluster-interne Image-Registry und abhängige Dienste, einschließlich S3. Dies ist erforderlich, damit der Betreiber die interne Registrierung eines ROSA Clusters installieren und verwalten kann. Weitere Informationen zum Operator finden Sie in der OpenShift GitHub Dokumentation unter [Image Registry Operator](https://github.com/openshift/cluster-image-registry-operator#image-registry-operator).
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen, mit denen der Image Registry Operator die folgenden Aktionen ausführen kann:
+ `s3`— Amazon S3 Buckets als persistenten Speicher für Container-Image-Inhalte und Cluster-Metadaten verwalten und auswerten.
Das vollständige JSON-Richtliniendokument finden Sie [ROSAImageRegistryOperatorPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAImageRegistryOperatorPolicy.html)im *Referenzhandbuch für AWS verwaltete Richtlinien.*
### AWS verwaltete Richtlinie: ROSACloud NetworkConfigOperatorPolicy
Sie können sie `ROSACloudNetworkConfigOperatorPolicy` an Ihre IAM Entitäten anhängen. Sie müssen diese Richtlinie einer Operator-IAM-Rolle zuordnen, damit ein ROSA-Cluster mit gehosteten Steuerungsebenen Anrufe an andere AWS-Services vornehmen kann. Für jeden Cluster ist ein eigener Satz von Operatorrollen erforderlich.
Diese Richtlinie gewährt dem Cloud Network Config Controller Operator die erforderlichen Berechtigungen zur Bereitstellung und Verwaltung von Netzwerkressourcen für das ROSA Cluster-Netzwerk-Overlay. Der Betreiber verwendet diese Berechtigungen, um private IP-Adressen für Amazon EC2 Instanzen als Teil des ROSA Clusters zu verwalten. Weitere Informationen zum Operator finden Sie loud-network-config-controller in der OpenShift GitHub Dokumentation unter [C.](https://github.com/openshift/cloud-network-config-controller#cloud-network-config-controller-cncc)
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen, mit denen der Cloud Network Config Controller Operator die folgenden Aufgaben ausführen kann:
+ `ec2`— Lesen, Zuweisen und Beschreiben von Konfigurationen für die Verbindung von Amazon EC2 Instances, Amazon VPC Subnetzen und elastischen Netzwerkschnittstellen in einem ROSA Cluster.
Das vollständige JSON-Richtliniendokument finden Sie [ROSACloudNetworkConfigOperatorPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSACloudNetworkConfigOperatorPolicy.html)im *Referenzhandbuch für AWS verwaltete Richtlinien.*
### AWS verwaltete Richtlinie: ROSAKube ControllerPolicy
Sie können sie `ROSAKubeControllerPolicy` an Ihre IAM Entitäten anhängen. Sie müssen diese Richtlinie einer Operator-IAM-Rolle zuordnen, damit ein ROSA-Cluster mit gehosteten Steuerungsebenen Anrufe an andere AWS-Services vornehmen kann. Für jeden Cluster ist ein eigener Satz von Operatorrollen erforderlich.
Diese Richtlinie gewährt dem Kube-Controller die erforderlichen Berechtigungen zur Verwaltung von Amazon EC2 Elastic Load Balancing, und AWS KMS Ressourcen für einen ROSA-Cluster mit gehosteten Steuerungsebenen. Weitere Informationen zu diesem Controller finden Sie in der OpenShift Dokumentation unter [Controller-Architektur](https://hypershift-docs.netlify.app/reference/controller-architecture/).
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen, die es dem Kube-Controller ermöglichen, die folgenden Aufgaben auszuführen:
+ `ec2`— Amazon EC2 Instanz-Sicherheitsgruppen erstellen, löschen und Tags hinzufügen. Fügen Sie Sicherheitsgruppen Regeln für eingehenden Datenverkehr hinzu. Beschreiben Sie Availability Zones, Amazon EC2 Instanzen, Routing-Tabellen VPCs, Sicherheitsgruppen und Subnetze.
+ `elasticloadbalancing`— Erstellen und verwalten Sie Load Balancer und deren Richtlinien. Erstellen und verwalten Sie Load Balancer-Listener. Registrieren und deregistrieren Sie Ziele bei Zielgruppen und verwalten Sie Zielgruppen. Registrieren und deregistrieren Sie Amazon EC2 Instances bei einem Load Balancer und fügen Sie Tags zu Load Balancern hinzu.
+ `kms`— Ruft detaillierte Informationen zu einem Schlüssel ab. AWS KMS Dies ist für die Verwendung verschlüsselter `etcd` Daten erforderlich, wenn die `etcd` Verschlüsselung bei der Clustererstellung aktiviert ist.
Das vollständige JSON-Richtliniendokument finden Sie [ROSAKubeControllerPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAKubeControllerPolicy.html)im *Referenzhandbuch für AWS verwaltete Richtlinien*.
### AWS verwaltete Richtlinie: ROSANode PoolManagementPolicy
Sie können sie `ROSANodePoolManagementPolicy` an Ihre IAM Entitäten anhängen. Sie müssen diese Richtlinie an die IAM-Rolle eines Operators anhängen, damit ein ROSA-Cluster mit gehosteten Steuerungsebenen Anrufe an andere AWS Dienste tätigen kann. Für jeden Cluster ist ein eigener Satz von Operatorrollen erforderlich.
Diese Richtlinie gewährt dem NodePool Controller die erforderlichen Berechtigungen zum Beschreiben, Ausführen und Beenden von Amazon EC2 Instanzen, die als Worker-Knoten verwaltet werden. Diese Richtlinie gewährt auch Berechtigungen zur Festplattenverschlüsselung des Worker-Knoten-Root-Volumes mithilfe von AWS KMS Schlüsseln, zur Kennzeichnung der elastic network interface, die mit dem Worker-Knoten verbunden ist, und zum Zugriff auf Amazon EC2 EC2-Kapazitätsreservierungen. Weitere Informationen zu diesem Controller finden Sie in der OpenShift Dokumentation unter [Controller-Architektur](https://hypershift-docs.netlify.app/reference/controller-architecture/).
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen, mit denen der NodePool Controller die folgenden Aufgaben ausführen kann:
+ `ec2`— Führen Sie Amazon EC2 Instances mithilfe von AMIs Hosted in aus, das AWS-Konten Eigentum von Red Hat ist und von Red Hat verwaltet wird. Verwalten Sie EC2-Lebenszyklen im Cluster. ROSA Erstellen und integrieren Sie dynamisch Worker-Knoten mit Elastic Load Balancing,, Amazon VPC Route 53, Amazon EBS und. Amazon EC2 Greifen Sie auf Kapazitätsreservierungen zu und beschreiben Sie sie, um die Funktion zur Kapazitätsreservierung in ROSA zu unterstützen.
+ `iam`— Verwendung Elastic Load Balancing über die angegebene serviceverknüpfte Rolle. `AWSServiceRoleForElasticLoadBalancing` Weisen Sie Amazon EC2 Instanzprofilen Rollen zu.
+ `kms`— Lesen Sie einen AWS KMS Schlüssel, erstellen und verwalten Sie Zuschüsse für und geben Sie einen eindeutigen symmetrischen Datenschlüssel zur Verwendung außerhalb von AWS KMS zurück. Amazon EC2 Dies ist erforderlich, um die Festplattenverschlüsselung des Root-Volumes des Worker-Knotens zu ermöglichen.
Das vollständige JSON-Richtliniendokument finden Sie [ROSANodePoolManagementPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSANodePoolManagementPolicy.html)im *Referenzhandbuch für AWS verwaltete Richtlinien*.
### AWS verwaltete Richtlinie: ROSAKMSProvider Richtlinie
Sie können sie `ROSAKMSProviderPolicy` an Ihre IAM Entitäten anhängen. Sie müssen diese Richtlinie einer Operator-IAM-Rolle zuordnen, damit ein ROSA-Cluster mit gehosteten Steuerungsebenen Anrufe an andere AWS-Services vornehmen kann. Für jeden Cluster ist ein eigener Satz von Operatorrollen erforderlich.
Diese Richtlinie gewährt dem integrierten AWS Encryption Provider die erforderlichen Berechtigungen zur Verwaltung von AWS KMS Schlüsseln, die `etcd` Datenverschlüsselung unterstützen. Diese Richtlinie ermöglicht Amazon EC2 die Verwendung von KMS-Schlüsseln, die der AWS Encryption Provider zur Verschlüsselung und Entschlüsselung von Daten bereitstellt. `etcd` Weitere Informationen zu diesem Anbieter finden Sie unter [AWS Encryption Provider](https://github.com/kubernetes-sigs/aws-encryption-provider#aws-encryption-provider) in der GitHub Kubernetes-Dokumentation.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen, die es dem AWS Encryption Provider ermöglichen, die folgenden Aufgaben auszuführen:
+ `kms`— Schlüssel verschlüsseln, entschlüsseln und abrufen. AWS KMS Dies ist für die Verwendung verschlüsselter `etcd` Daten erforderlich, wenn die `etcd` Verschlüsselung bei der Clustererstellung aktiviert ist.
Das vollständige JSON-Richtliniendokument finden Sie unter [ROSAKMSProviderRichtlinie](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAKMSProviderPolicy.html) im *Referenzhandbuch für AWS verwaltete Richtlinien*.
### AWS verwaltete Richtlinie: ROSAControl PlaneOperatorPolicy
Sie können sie `ROSAControlPlaneOperatorPolicy` an Ihre IAM Entitäten anhängen. Sie müssen diese Richtlinie einer Operator-IAM-Rolle zuordnen, damit ein ROSA-Cluster mit gehosteten Steuerungsebenen Anrufe an andere AWS-Services vornehmen kann. Für jeden Cluster ist ein eigener Satz von Operatorrollen erforderlich.
Diese Richtlinie gewährt dem Kontrollebenenbetreiber die erforderlichen Berechtigungen für die Verwaltung Amazon EC2 und die Route 53 Ressourcen für ROSA mit gehosteten Steuerungsebenen-Clustern. Weitere Informationen zu diesem Operator finden Sie in der OpenShift Dokumentation unter [Controller-Architektur](https://hypershift-docs.netlify.app/reference/controller-architecture/).
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen, mit denen der Bediener der Steuerungsebene die folgenden Aufgaben ausführen kann:
+ `ec2`— Amazon VPC Endgeräte erstellen und verwalten.
+ `route53`— Route 53 Datensätze auflisten und ändern und gehostete Zonen auflisten.
Das vollständige JSON-Richtliniendokument finden Sie [ROSAControlPlaneOperatorPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAControlPlaneOperatorPolicy.html)im *Referenzhandbuch für AWS verwaltete Richtlinien*.
## ROSA Aktualisierungen der AWS verwalteten Richtlinien
Hier finden Sie Informationen zu Aktualisierungen AWS verwalteter Richtlinien, die ROSA seit Beginn der Nachverfolgung dieser Änderungen durch diesen Dienst vorgenommen wurden. Um automatische Warnungen über Änderungen an dieser Seite zu erhalten, abonnieren Sie den RSS-Feed auf der [Dokumentverlauf](doc-history.md)-Seite.
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| ROSANodePoolManagementPolicy — Die Richtlinie wurde aktualisiert | ROSA hat die Richtlinie aktualisiert, um den Ressourcenzugriff für Amazon EC2 EC2-Kapazitätsreservierungen hinzuzufügen. Diese Änderung ermöglicht es dem NodePool Controller, auf Kapazitätsreservierungen zuzugreifen und diese zu beschreiben, um das Ressourcenmanagement zu verbessern. Weitere Informationen hierzu finden Sie unter [AWS verwaltete Richtlinie: ROSANode PoolManagementPolicy](#security-iam-awsmanpol-rosanodepoolmanagementpolicy). | 3. September 2025 |
| ROSASharedVPCEndpointRichtlinie — Neue Richtlinie hinzugefügt | ROSA hat eine neue Richtlinie hinzugefügt, die es dem ROSA Installateur ermöglicht, VPC-Endpunkte und Sicherheitsgruppen in gemeinsam genutzten VPC-Umgebungen zu konfigurieren. Diese Richtlinie bietet eine Teilmenge von EC2-Berechtigungen, die auf gemeinsame VPC-Anwendungsfälle zugeschnitten sind. Weitere Informationen hierzu finden Sie unter [AWS verwaltete Richtlinie: ROSAShared VPCEndpoint Richtlinie](#security-iam-awsmanpol-rosasharedvpcendpointpolicy). | 7. August 2025 |
| ROSASharedVPCRoute53Richtlinie — Neue Richtlinie hinzugefügt | ROSA hat eine neue Richtlinie hinzugefügt, die es dem ROSA Installateur ermöglicht, Route 53 53-Datensätze in gemeinsam genutzten VPC-Umgebungen zu konfigurieren. Diese Richtlinie bietet eine Teilmenge von Route 53 53-Berechtigungen, die auf gemeinsame VPC-Anwendungsfälle zugeschnitten sind. Weitere Informationen hierzu finden Sie unter [AWS verwaltete Richtlinie: ROSAShared VPCRoute53 Richtlinie](#security-iam-awsmanpol-rosasharedvpcroute53policy). | 7. August 2025 |
| ROSAInstallerRichtlinie — Richtlinie aktualisiert | ROSA hat die Richtlinie aktualisiert, sodass der ROSA Installateur Amazon EC2 EC2-Kapazitätsreservierungen überprüfen kann, um die neue Funktion für Kapazitätsreservierungen in ROSA zu unterstützen. Dieses Update ermöglicht es dem Installationsprogramm auch, Tags in Subnetzen mithilfe von Tag-Schlüsseln zu löschen, um das Tag-Management im Kubernetes-Cluster zu verbessern. `"kubernetes.io/cluster/*"` Weitere Informationen hierzu finden Sie unter [AWS verwaltete Richtlinie: ROSAInstaller Richtlinie](#security-iam-awsmanpol-rosainstallerpolicy). | 7. August 2025 |
| ROSAImageRegistryOperatorPolicy — Die Richtlinie wurde aktualisiert | ROSA hat die Richtlinie aktualisiert, sodass die Berechtigungen bis auf die Ressourcenebene des S3-Buckets beschränkt sind. Diese Änderung erfüllt die Speicheranforderungen von ROSA sowohl für AWS kommerzielle Zwecke als auch für Regionen. GovCloud Weitere Informationen hierzu finden Sie unter [AWS verwaltete Richtlinie: ROSAImage RegistryOperatorPolicy](#security-iam-awsmanpol-rosaimageregistryoperatorpolicy). | 19. Mai 2025 |
| ROSANodePoolManagementPolicy — Richtlinie aktualisiert | ROSA hat die Richtlinie aktualisiert, um das Taggen der elastic network interface zu ermöglichen, die an den Worker-Knoten angeschlossen ist. Weitere Informationen hierzu finden Sie unter [AWS verwaltete Richtlinie: ROSANode PoolManagementPolicy](#security-iam-awsmanpol-rosanodepoolmanagementpolicy). | 5. Mai 2025 |
| ROSAImageRegistryOperatorPolicy — Die Richtlinie wurde aktualisiert | ROSA hat die Richtlinie aktualisiert, um es dem Red Hat OpenShift Image Registry Operator zu ermöglichen, Amazon S3 S3-Buckets und -Objekte in AWS GovCloud Regionen bereitzustellen und zu verwalten, damit sie von der ROSA In-Cluster-Image-Registry verwendet werden können. Diese Änderung erfüllt die ROSA-Speicheranforderungen für Regionen. AWS GovCloud Weitere Informationen hierzu finden Sie unter [AWS verwaltete Richtlinie: ROSAImage RegistryOperatorPolicy](#security-iam-awsmanpol-rosaimageregistryoperatorpolicy). | 16. April 2025 |
| ROSAWorkerInstancePolicy — Richtlinie aktualisiert | ROSA hat die Richtlinie aktualisiert, sodass Worker-Knoten Bilder von ROSA-verwalteten ECR-Repositorys auswerten und abrufen können, die für die Cluster-Installation und das Worker-Node-Lebenszyklusmanagement erforderlich sind. Weitere Informationen hierzu finden Sie unter [AWS verwaltete Richtlinie: ROSAWorker InstancePolicy](#security-iam-awsmanpol-rosaworkerinstancepolicy). | 03. März 2025 |
| ROSANodePoolManagementPolicy — Die Richtlinie wurde aktualisiert | ROSA hat die Richtlinie aktualisiert, sodass elastische Netzwerkschnittstellen ähnlich wie EC2-Instances nur bei ec2: RunInstances -Aufrufen gekennzeichnet werden können, wenn die Anfrage das Tag enthält. `red-hat-managed: true` Diese Berechtigungen sind erforderlich, um ROSA mit HCP 4.17-Clustern zu unterstützen. Weitere Informationen hierzu finden Sie unter [AWS verwaltete Richtlinie: ROSANode PoolManagementPolicy](#security-iam-awsmanpol-rosanodepoolmanagementpolicy). | 24. Februar 2025 |
| ROSAAmazonEBSCSIDriverOperatorPolicy — Richtlinie aktualisiert | ROSA hat die Richtlinie aktualisiert, um die neue Amazon EBS Snapshot-Autorisierungs-API zu unterstützen. Weitere Informationen hierzu finden Sie unter [AWS verwaltete Richtlinie: ROSAAmazon EBSCSIDriver OperatorPolicy](#security-iam-awsmanpol-rosaamazonebscsidriveroperatorpolicy). | 17. Januar 2025 |
| ROSANodePoolManagementPolicy — Richtlinie aktualisiert | ROSA hat die Richtlinie aktualisiert, sodass der ROSA Knotenpool-Manager DHCP-Optionssätze beschreiben kann, um die richtigen privaten DNS-Namen festzulegen. Weitere Informationen hierzu finden Sie unter [AWS verwaltete Richtlinie: ROSANode PoolManagementPolicy](#security-iam-awsmanpol-rosanodepoolmanagementpolicy). | 2. Mai 2024 |
| ROSAInstallerRichtlinie — Richtlinie aktualisiert | ROSA hat die Richtlinie aktualisiert, sodass das ROSA Installationsprogramm mithilfe von Tagschlüsseln Tags zu Subnetzen hinzufügen kann. `"kubernetes.io/cluster/*"` Weitere Informationen hierzu finden Sie unter [AWS verwaltete Richtlinie: ROSAInstaller Richtlinie](#security-iam-awsmanpol-rosainstallerpolicy). | 24. April 2024 |
| ROSASRESupportRichtlinie — Richtlinie aktualisiert | ROSA hat die Richtlinie aktualisiert, sodass die SRE-Rolle Informationen zu Instanzprofilen abrufen kann, die mit ROSA as gekennzeichnet wurden`red-hat-managed`. Weitere Informationen hierzu finden Sie unter [AWS verwaltete Richtlinie: ROSASRESupport Richtlinie](#security-iam-awsmanpol-rosasresupportpolicy). | 10. April 2024 |
| ROSAInstallerRichtlinie — Richtlinie aktualisiert | ROSA hat die Richtlinie aktualisiert, sodass das ROSA Installationsprogramm überprüfen kann, ob AWS verwaltete Richtlinien für an IAM Rollen angehängt ROSA sind, die von verwendet werden ROSA. Mit diesem Update kann das Installationsprogramm auch feststellen, ob vom Kunden verwaltete Richtlinien an ROSA Rollen angehängt wurden. Weitere Informationen hierzu finden Sie unter [AWS verwaltete Richtlinie: ROSAInstaller Richtlinie](#security-iam-awsmanpol-rosainstallerpolicy). | 10. April 2024 |
| ROSAInstallerRichtlinie — Die Richtlinie wurde aktualisiert | ROSA hat die Richtlinie aktualisiert, sodass der Dienst Warnmeldungen für das Installationsprogramm ausgeben kann, wenn die Clusterinstallation aufgrund eines fehlenden kundenspezifischen Cluster-OIDC-Anbieters fehlschlägt. Dieses Update ermöglicht es dem Dienst auch, vorhandene DNS-Nameserver abzurufen, sodass Cluster-Bereitstellungsvorgänge idempotent sind. Weitere Informationen hierzu finden Sie unter [AWS verwaltete Richtlinie: ROSAInstaller Richtlinie](#security-iam-awsmanpol-rosainstallerpolicy). | 26. Januar 2024 |
| ROSASRESupportRichtlinie — Richtlinie aktualisiert | ROSA Die Richtlinie wurde aktualisiert, sodass der Dienst mithilfe der DescribeSecurityGroups API Lesevorgänge für Sicherheitsgruppen durchführen kann. Weitere Informationen hierzu finden Sie unter [AWS verwaltete Richtlinie: ROSASRESupport Richtlinie](#security-iam-awsmanpol-rosasresupportpolicy). | 22. Januar 2024 |
| ROSAImageRegistryOperatorPolicy — Die Richtlinie wurde aktualisiert | ROSA Die Richtlinie wurde aktualisiert, sodass der Image-Registry-Betreiber Maßnahmen für Amazon S3 Buckets in Regionen mit 14-stelligen Namen ergreifen kann. Weitere Informationen hierzu finden Sie unter [AWS verwaltete Richtlinie: ROSAImage RegistryOperatorPolicy](#security-iam-awsmanpol-rosaimageregistryoperatorpolicy). | 12. Dezember 2023 |
| ROSAKubeControllerPolicy — Die Richtlinie wurde aktualisiert | ROSA Die Richtlinie wurde aktualisiert, sodass Availability Zones, Amazon EC2 Instances, Routing-Tabellen, Sicherheitsgruppen und Subnetze beschrieben werden können. kube-controller-manager VPCs Weitere Informationen hierzu finden Sie unter [AWS verwaltete Richtlinie: ROSAKube ControllerPolicy](#security-iam-awsmanpol-rosakubecontrollerpolicy). | 16. Oktober 2023 |
| ROSAManageAbonnement — Richtlinie aktualisiert | ROSA Die Richtlinie wurde aktualisiert, um die ROSA mit gehosteten Steuerungsebenen hinzuzufügen ProductId. Weitere Informationen hierzu finden Sie unter [AWS verwaltete Richtlinie: ROSAManage Abonnement](#security-iam-awsmanpol-rosamanagesubscription). | 1. August 2023 |
| ROSAKubeControllerPolicy — Richtlinie aktualisiert | ROSA Die Richtlinie wurde aktualisiert, sodass Network Load Balancer als Kubernetes-Dienst-Loadbalancer erstellt werden können. kube-controller-manager Network Load Balancer bieten eine bessere Fähigkeit, volatile Workloads zu bewältigen, und unterstützen statische IP-Adressen für den Load Balancer. Weitere Informationen hierzu finden Sie unter [AWS verwaltete Richtlinie: ROSAKube ControllerPolicy](#security-iam-awsmanpol-rosakubecontrollerpolicy). | 13. Juli 2023 |
| ROSANodePoolManagementPolicy — Neue Richtlinie hinzugefügt | ROSA Es wurde eine neue Richtlinie hinzugefügt, die es dem NodePool Controller ermöglicht, als Worker-Knoten verwaltete Amazon EC2 Instanzen zu beschreiben, auszuführen und zu beenden. Diese Richtlinie ermöglicht auch die Festplattenverschlüsselung des Worker-Knoten-Root-Volumes mithilfe von AWS KMS Schlüsseln. Weitere Informationen hierzu finden Sie unter [AWS verwaltete Richtlinie: ROSANode PoolManagementPolicy](#security-iam-awsmanpol-rosanodepoolmanagementpolicy). | 08. Juni 2023 |
| ROSAInstallerRichtlinie — Neue Richtlinie hinzugefügt | ROSA Es wurde eine neue Richtlinie hinzugefügt, die es dem Installationsprogramm ermöglicht, AWS Ressourcen zu verwalten, die die Clusterinstallation unterstützen. Weitere Informationen hierzu finden Sie unter [AWS verwaltete Richtlinie: ROSAInstaller Richtlinie](#security-iam-awsmanpol-rosainstallerpolicy). | 6. Juni 2023 |
| ROSASRESupportRichtlinie — Neue Richtlinie hinzugefügt | ROSA Es wurde eine neue Richtlinie hinzugefügt, die es Red Hat ermöglicht, AWS Ressourcen im Zusammenhang mit ROSA Clustern direkt SREs zu beobachten, zu diagnostizieren und zu unterstützen, einschließlich der Möglichkeit, den Status von ROSA Clusterknoten zu ändern. Weitere Informationen hierzu finden Sie unter [AWS verwaltete Richtlinie: ROSASRESupport Richtlinie](#security-iam-awsmanpol-rosasresupportpolicy). | 01. Juni 2023 |
| ROSAKMSProviderRichtlinie — Neue Richtlinie hinzugefügt | ROSA Es wurde eine neue Richtlinie hinzugefügt, die es dem integrierten AWS Encryption Provider ermöglicht, AWS KMS Schlüssel zur Unterstützung der etcd-Datenverschlüsselung zu verwalten. Weitere Informationen hierzu finden Sie unter [AWS verwaltete Richtlinie: ROSAKMSProvider Richtlinie](#security-iam-awsmanpol-rosakmsproviderpolicy). | 27. April 2023 |
| ROSAKubeControllerPolicy — Neue Richtlinie hinzugefügt | ROSA Es wurde eine neue Richtlinie hinzugefügt, die es dem Kube-Controller ermöglicht Amazon EC2 Elastic Load Balancing, AWS KMS Ressourcen für Cluster ROSA mit gehosteten Steuerungsebenen zu verwalten und zu verwalten. Weitere Informationen hierzu finden Sie unter [AWS verwaltete Richtlinie: ROSAKube ControllerPolicy](#security-iam-awsmanpol-rosakubecontrollerpolicy). | 27. April 2023 |
| ROSAImageRegistryOperatorPolicy — Neue Richtlinie hinzugefügt | ROSA Es wurde eine neue Richtlinie hinzugefügt, die es dem Image Registry Operator ermöglicht, Ressourcen für die ROSA Cluster-Image-Registry und abhängige Dienste, einschließlich S3, bereitzustellen und zu verwalten. Weitere Informationen hierzu finden Sie unter [AWS verwaltete Richtlinie: ROSAImage RegistryOperatorPolicy](#security-iam-awsmanpol-rosaimageregistryoperatorpolicy). | 27. April 2023 |
| ROSAControlPlaneOperatorPolicy — Neue Richtlinie hinzugefügt | ROSA Es wurde eine neue Richtlinie hinzugefügt, die es dem Bediener der Kontrollebene ermöglicht, Cluster ROSA mit gehosteten Steuerungsebenen zu verwalten Amazon EC2 und Route 53 Ressourcen zu verwalten. Weitere Informationen hierzu finden Sie unter [AWS verwaltete Richtlinie: ROSAControl PlaneOperatorPolicy](#security-iam-awsmanpol-rosacontrolplaneoperatorpolicy). | 24. April 2023 |
| ROSACloudNetworkConfigOperatorPolicy — Neue Richtlinie hinzugefügt | ROSA hat eine neue Richtlinie hinzugefügt, die es dem Cloud Network Config Controller Operator ermöglicht, Netzwerkressourcen für das ROSA Cluster-Netzwerk-Overlay bereitzustellen und zu verwalten. Weitere Informationen hierzu finden Sie unter [AWS verwaltete Richtlinie: ROSACloud NetworkConfigOperatorPolicy](#security-iam-awsmanpol-rosacloudnetworkconfigoperatorpolicy). | 20. April 2023 |
| ROSAIngressOperatorPolicy — Neue Richtlinie hinzugefügt | ROSA Es wurde eine neue Richtlinie hinzugefügt, die es dem Ingress Operator ermöglicht, Load Balancer und DNS-Konfigurationen für ROSA Cluster bereitzustellen und zu verwalten. Weitere Informationen hierzu finden Sie unter [AWS verwaltete Richtlinie: ROSAIngress OperatorPolicy](#security-iam-awsmanpol-rosaingressoperatorpolicy). | 20. April 2023 |
| ROSAAmazonEBSCSIDriverOperatorPolicy — Neue Richtlinie hinzugefügt | ROSA Es wurde eine neue Richtlinie hinzugefügt, die es dem Amazon EBS CSI-Treiberoperator ermöglicht, den Amazon EBS CSI-Treiber auf einem ROSA Cluster zu installieren und zu warten. Weitere Informationen hierzu finden Sie unter [AWS verwaltete Richtlinie: ROSAAmazon EBSCSIDriver OperatorPolicy](#security-iam-awsmanpol-rosaamazonebscsidriveroperatorpolicy). | 20. April 2023 |
| ROSAWorkerInstancePolicy — Neue Richtlinie hinzugefügt | ROSA Es wurde eine neue Richtlinie hinzugefügt, die es dem Dienst ermöglicht, Clusterressourcen zu verwalten. Weitere Informationen hierzu finden Sie unter [AWS verwaltete Richtlinie: ROSAWorker InstancePolicy](#security-iam-awsmanpol-rosaworkerinstancepolicy). | 20. April 2023 |
| ROSAManageAbonnement — Neue Richtlinie hinzugefügt | ROSA Es wurde eine neue Richtlinie hinzugefügt, um die AWS Marketplace für die Verwaltung des ROSA Abonnements erforderlichen Berechtigungen zu gewähren. Weitere Informationen hierzu finden Sie unter [AWS verwaltete Richtlinie: ROSAManage Abonnement](#security-iam-awsmanpol-rosamanagesubscription). | 11. April 2022 |
| Red Hat OpenShift Service in AWS hat begonnen, Änderungen zu verfolgen | Red Hat OpenShift Service in AWS hat begonnen, Änderungen für die AWS verwalteten Richtlinien zu verfolgen. | 2. März 2022 |
# Fehlerbehebung bei ROSA Identität und Zugriff
Verwenden Sie die folgenden Informationen, um häufig auftretende Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit ROSA und auftreten können IAM.
## AWS Organizations Die Dienststeuerungsrichtlinie verweigert die erforderlichen Berechtigungen AWS Marketplace
Wenn Ihre AWS Organizations Service Control Policy (SCP) die erforderlichen AWS Marketplace Abonnementberechtigungen nicht zulässt, wenn Sie versuchen ROSA, sie zu aktivieren, tritt der folgende Konsolenfehler auf.
```
An error occurred while enabling ROSA, because a service control policy (SCP) is denying required permissions. Contact your management account administrator, and consult the documentation for troubleshooting.
```
Wenn Sie diesen Fehler erhalten, müssen Sie sich an Ihren Administrator wenden, um Unterstützung zu erhalten. Ihr Administrator ist die Person, die die Konten für Ihre Organisation verwaltet. Bitten Sie diese Person, Folgendes zu tun:
1. Konfigurieren Sie den SCP so, dass er `aws-marketplace:Subscribe``aws-marketplace:Unsubscribe`, und `aws-marketplace:ViewSubscriptions` Berechtigungen zulässt. Weitere Informationen finden Sie unter [Aktualisieren eines SCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_create.html#update_policy) im * AWS Organizations Benutzerhandbuch*.
1. Aktivieren Sie ROSA diese Option im Verwaltungskonto der Organisation.
1. Teilen Sie das ROSA Abonnement mit Mitgliedskonten, für die innerhalb der Organisation Zugriff erforderlich ist. Weitere Informationen finden Sie [im * AWS Marketplace Buyer Guide* unter Gemeinsame Nutzung von Abonnements in einer Organisation](https://docs.aws.amazon.com/marketplace/latest/buyerguide/organizations-sharing.html).
## Der Benutzer oder die Rolle verfügt nicht über die erforderlichen AWS Marketplace Berechtigungen
Wenn Ihr IAM Principal beim Versuch, die Aktivierung durchzuführen, nicht über die erforderlichen AWS Marketplace Abonnementberechtigungen verfügt ROSA, tritt der folgende Konsolenfehler auf.
```
An error occurred while enabling ROSA, because your user or role does not have the required permissions.
```
Um dieses Problem zu beheben, führen Sie die folgenden Schritte aus:
1. Rufen Sie die [IAM Konsole](https://console.aws.amazon.com/iam) auf und fügen Sie die AWS verwaltete Richtlinie `ROSAManageSubscription` Ihrer IAM-Identität hinzu. Weitere Informationen finden Sie unter [ROSAManageAbonnement](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAManageSubscription.html) im *Referenzhandbuch für AWS verwaltete Richtlinien.*
1. Folgen Sie dem Verfahren unter [AWS Voraussetzungen aktivieren ROSA und konfigurieren](set-up.md#enable-rosa).
Wenn Sie nicht berechtigt sind, Ihre in festgelegten Berechtigungen einzusehen oder zu aktualisieren, IAM oder wenn Sie eine Fehlermeldung erhalten, müssen Sie sich an Ihren Administrator wenden, um Unterstützung zu erhalten. Bitten Sie diese Person, Ihre IAM Identität als Anlage `ROSAManageSubscription` beizufügen, und folgen Sie den Anweisungen unter[AWS Voraussetzungen aktivieren ROSA und konfigurieren](set-up.md#enable-rosa). Wenn ein Administrator diese Aktion ausführt, wird sie aktiviert, ROSA indem er den Berechtigungssatz für alle IAM Identitäten unter dem AWS-Konto aktualisiert.
## Erforderliche AWS Marketplace Berechtigungen, die von einem Administrator blockiert wurden
Wenn Ihr Kontoadministrator die erforderlichen AWS Marketplace Abonnementberechtigungen blockiert hat, tritt beim Versuch, sie zu aktivieren, der folgende Konsolenfehler auf ROSA.
```
An error occurred while enabling ROSA because required permissions have been blocked by an administrator. ROSAManageSubscription includes the permissions required to enable ROSA. Consult the documentation and try again.
```
Wenn Sie diesen Fehler erhalten, müssen Sie sich an Ihren Administrator wenden, um Unterstützung zu erhalten. Bitten Sie diese Person, Folgendes zu tun:
1. Rufen Sie die [ROSA Konsole](https://console.aws.amazon.com/rosa) auf und fügen Sie die AWS verwaltete Richtlinie `ROSAManageSubscription` Ihrer IAM-Identität hinzu. Weitere Informationen finden Sie unter [ROSAManageAbonnement](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAManageSubscription.html) im *Referenzhandbuch für AWS verwaltete Richtlinien.*
1. Folgen Sie zum Aktivieren [AWS Voraussetzungen aktivieren ROSA und konfigurieren](set-up.md#enable-rosa) den Anweisungen unter ROSA. Dieses Verfahren ermöglicht es, ROSA indem der Berechtigungssatz für alle IAM Identitäten unter dem AWS-Konto aktualisiert wird.
## Fehler beim Erstellen des Load Balancers: AccessDenied
Wenn Sie keinen Load Balancer erstellt haben, ist die mit dem `AWSServiceRoleForElasticLoadBalacing` Dienst verknüpfte Rolle möglicherweise nicht in Ihrem Konto vorhanden. Der folgende Fehler tritt auf, wenn Sie versuchen, eine ROSA Cluster ohne die `AWSServiceRoleForElasticLoadBalacing` Rolle in Ihrem Konto zu erstellen.
```
Error creating network Load Balancer: AccessDenied
```
Um dieses Problem zu beheben, führen Sie die folgenden Schritte aus:
1. Prüfen Sie, ob Ihr Konto die `AWSServiceRoleForElasticLoadBalancing` Rolle hat.
```
aws iam get-role --role-name "AWSServiceRoleForElasticLoadBalancing"
```
1. Wenn Sie diese Rolle nicht haben, folgen Sie den Anweisungen zum Erstellen der Rolle unter [Erstellen der serviceverknüpften Rolle](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/elb-service-linked-roles.html) im * Elastic Load Balancing Benutzerhandbuch*.