Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Keamanan di ROSA
Keamanan cloud di AWS adalah prioritas tertinggi. Sebagai AWS pelanggan, Anda mendapat manfaat dari pusat data dan arsitektur jaringan yang dibangun untuk memenuhi persyaratan organisasi yang paling sensitif terhadap keamanan.
Keamanan adalah tanggung jawab bersama antara Anda AWS dan Anda. [Model tanggung jawab bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) menggambarkan ini sebagai keamanan cloud dan keamanan di cloud:
+ **Keamanan cloud** — AWS bertanggung jawab untuk melindungi infrastruktur yang menjalankan AWS layanan di AWS Cloud. AWS juga memberi Anda layanan yang dapat Anda gunakan dengan aman. Auditor pihak ketiga secara teratur menguji dan memverifikasi keefektifan keamanan kami sebagai bagian dari [program kepatuhan AWS](https://aws.amazon.com/compliance/programs/). Untuk mempelajari tentang program kepatuhan yang berlaku ROSA, lihat [Layanan AWS di Cakupan berdasarkan Program Kepatuhan](https://aws.amazon.com/compliance/services-in-scope/).
+ **Keamanan di cloud** — Tanggung jawab Anda ditentukan oleh Layanan AWS yang Anda gunakan. Anda juga bertanggung jawab atas faktor lain, yang mencakup sensitivitas data Anda, persyaratan perusahaan Anda, serta undang-undang dan peraturan yang berlaku.
Dokumentasi ini membantu Anda memahami cara menerapkan model tanggung jawab bersama saat menggunakan ROSA. Ini menunjukkan kepada Anda cara mengonfigurasi ROSA untuk memenuhi tujuan keamanan dan kepatuhan Anda. Anda juga belajar cara menggunakan Layanan AWS yang lain yang membantu Anda memantau dan mengamankan ROSA sumber daya Anda.
**Topics**
+ [Perlindungan data](data-protection.md)
+ [Manajemen identitas dan akses](security-iam.md)
+ [Ketahanan](disaster-recovery-resiliency.md)
+ [Keamanan infrastruktur](infrastructure-security.md)
# Perlindungan data di ROSA
[Ikhtisar tanggung jawab untuk ROSA](rosa-responsibilities.md)Dokumentasi dan [model tanggung jawab AWS bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) menentukan perlindungan data di ROSA. AWS bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Red Hat bertanggung jawab untuk melindungi infrastruktur cluster dan platform layanan yang mendasarinya. Pelanggan bertanggung jawab untuk menjaga kontrol atas konten yang di-host di infrastruktur ini. Konten ini mencakup konfigurasi keamanan dan tugas manajemen untuk Layanan AWS yang Anda gunakan. Untuk informasi selengkapnya tentang privasi data, silakan lihat [ Pertanyaan Umum Privasi Data](https://aws.amazon.com/compliance/data-privacy-faq). Untuk informasi tentang perlindungan data di Eropa, lihat [Model Tanggung Jawab AWS Bersama dan posting blog GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr) di *Blog AWS Keamanan*.
Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensil dan mengatur pengguna individu dengan AWS Identity and Access Management ()IAM. Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:
+ Gunakan autentikasi multi-faktor (MFA) pada setiap akun.
+ Gunakan SSL/TLS untuk berkomunikasi dengan AWS sumber daya. Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail.
+ Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.
+ Gunakan layanan keamanan terkelola tingkat lanjut seperti Amazon Macie, yang membantu dalam menemukan dan mengamankan data sensitif yang disimpan. Amazon S3
+ Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-2 saat mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Untuk informasi lebih lanjut tentang titik akhir FIPS yang tersedia, lihat [Standar Pemrosesan Informasi Federal (FIPS) 140-2](https://aws.amazon.com/compliance/fips/).
Kami sangat merekomendasikan agar Anda tidak memasukkan informasi identifikasi sensitif apapun, seperti nomor rekening pelanggan Anda, ke dalam kolom isian teks bebas seperti kolom **Nama**. Ini termasuk saat Anda bekerja dengan ROSA atau lainnya Layanan AWS menggunakan konsol, API AWS CLI, atau AWS SDKs. Data apa pun yang Anda masukkan ROSA atau layanan lain mungkin diambil untuk dimasukkan dalam log diagnostik. Saat Anda memberikan URL ke server eksternal, jangan sertakan informasi kredensyal di URL untuk memvalidasi permintaan Anda ke server tersebut.
**Topics**
+ [Enkripsi data](data-protection-encryption.md)
# Melindungi data dengan menggunakan enkripsi
Perlindungan data mengacu pada melindungi data saat transit (saat bepergian ke dan dari ROSA) dan saat istirahat (saat disimpan pada disk di pusat AWS data).
Layanan OpenShift Red Hat di AWS menyediakan akses aman ke Amazon Elastic Block Store (Amazon EBS) volume penyimpanan yang dilampirkan ke Amazon EC2 instance untuk ROSA control plane, infrastruktur, dan node pekerja, serta volume persisten Kubernetes untuk penyimpanan persisten. ROSA mengenkripsi data volume saat istirahat dan dalam perjalanan, dan menggunakan AWS Key Management Service (AWS KMS) untuk membantu melindungi data terenkripsi Anda. Layanan ini digunakan Amazon S3 untuk penyimpanan registri gambar kontainer, yang dienkripsi saat istirahat secara default.
**penting**
Karena ROSA merupakan layanan yang dikelola, AWS dan Red Hat mengelola infrastruktur yang ROSA digunakan. Pelanggan tidak boleh mencoba mematikan Amazon EC2 instance yang ROSA digunakan secara manual dari AWS konsol atau CLI. Tindakan ini dapat menyebabkan hilangnya data pelanggan.
## Enkripsi data untuk Amazon EBS volume penyimpanan yang didukung
Layanan OpenShift Red Hat di AWS menggunakan kerangka kerja persisten volume (PV) Kubernetes untuk memungkinkan administrator klaster menyediakan penyimpanan persisten pada klaster. Volume persisten, serta bidang kontrol, infrastruktur, dan node pekerja, didukung oleh Amazon Elastic Block Store (Amazon EBS) volume penyimpanan yang dilampirkan ke Amazon EC2 instance.
Untuk volume dan node ROSA persisten yang didukung oleh Amazon EBS, operasi enkripsi terjadi pada server yang meng-host instans EC2, memastikan keamanan data saat istirahat dan data dalam transit antara instance dan penyimpanan terlampirnya. Untuk informasi selengkapnya, lihat [Amazon EBS enkripsi](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html) di *Panduan Amazon EC2 Pengguna*.
### Enkripsi data untuk driver Amazon EBS CSI dan driver Amazon EFS CSI
ROSA default menggunakan driver Amazon EBS CSI untuk menyediakan penyimpanan. Amazon EBS Driver Amazon EBS CSI dan Operator Driver Amazon EBS CSI diinstal pada cluster secara default di namespace. `openshift-cluster-csi-drivers` Driver dan operator Amazon EBS CSI memungkinkan Anda menyediakan volume persisten secara dinamis dan membuat snapshot volume.
ROSA juga mampu menyediakan volume persisten menggunakan driver CSI dan Operator Driver Amazon EFS Amazon EFS CSI. Amazon EFS Driver dan operator juga memungkinkan Anda untuk berbagi data sistem file antar pod atau dengan aplikasi lain di dalam atau di luar Kubernetes.
Data volume diamankan dalam perjalanan untuk driver Amazon EBS CSI dan driver Amazon EFS CSI. Untuk informasi selengkapnya, lihat [Menggunakan Container Storage Interface (CSI)](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/storage/using-container-storage-interface-csi) di dokumentasi Red Hat.
**penting**
Saat menyediakan volume ROSA persisten secara dinamis menggunakan driver Amazon EFS CSI, Amazon EFS pertimbangkan ID pengguna, ID grup (GID), dan grup IDs sekunder titik akses saat mengevaluasi izin sistem file. Amazon EFS menggantikan pengguna dan grup IDs pada file dengan pengguna dan grup IDs pada titik akses dan mengabaikan klien NFS. IDs Akibatnya, Amazon EFS diam-diam mengabaikan pengaturan. `fsGroup` ROSA tidak dapat mengganti file dengan menggunakan`fsGroup`. GIDs Pod apa pun yang dapat mengakses titik Amazon EFS akses yang terpasang dapat mengakses file apa pun pada volume. Untuk informasi selengkapnya, lihat [Bekerja dengan titik Amazon EFS akses](https://docs.aws.amazon.com/efs/latest/ug/efs-access-points.html) di *Panduan Amazon EFS Pengguna*.
### enkripsi etcd
ROSA menyediakan opsi untuk mengaktifkan enkripsi nilai-nilai `etcd` kunci dalam `etcd` volume selama pembuatan cluster, menambahkan lapisan enkripsi tambahan. Setelah `etcd` dienkripsi, Anda akan dikenakan sekitar 20% overhead kinerja tambahan. Kami menyarankan Anda mengaktifkan `etcd` enkripsi hanya jika Anda secara khusus memerlukannya untuk kasus penggunaan Anda. Untuk informasi selengkapnya, lihat [enkripsi etcd](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/introduction_to_rosa/policies-and-service-definition#rosa-sdpolicy-etcd-encryption_rosa-service-definition) dalam definisi ROSA layanan.
### Manajemen kunci
ROSA digunakan KMS keys untuk mengelola bidang kontrol, infrastruktur, dan volume data pekerja dengan aman dan volume persisten untuk aplikasi pelanggan. Selama pembuatan klaster, Anda memiliki pilihan untuk menggunakan default yang AWS dikelola KMS key oleh Amazon EBS, atau menentukan kunci yang dikelola pelanggan Anda sendiri. Untuk informasi selengkapnya, lihat [Enkripsi data menggunakan KMS](data-protection-key-management.md).
## Enkripsi data untuk registri gambar bawaan
ROSA menyediakan registri gambar kontainer bawaan untuk menyimpan, mengambil, dan berbagi gambar kontainer melalui penyimpanan Amazon S3 ember. Registri dikonfigurasi dan dikelola oleh OpenShift Image Registry Operator. Ini memberikan out-of-the-box solusi bagi pengguna untuk mengelola gambar yang menjalankan beban kerja mereka, dan berjalan di atas infrastruktur cluster yang ada. Untuk informasi selengkapnya, lihat [Registry](https://docs.redhat.com/en/documentation/red_hat_openshift_service_on_aws/4/html/registry/index) di dokumentasi Red Hat.
ROSA menawarkan pendaftar gambar publik dan pribadi. Untuk aplikasi perusahaan, sebaiknya gunakan registri pribadi untuk melindungi gambar Anda agar tidak digunakan oleh pengguna yang tidak sah. Untuk melindungi data registri Anda saat istirahat, ROSA gunakan enkripsi sisi server secara default dengan kunci Amazon S3 terkelola (SSE-S3). Ini tidak memerlukan tindakan apa pun dari Anda, dan ditawarkan tanpa biaya tambahan. *Untuk informasi selengkapnya, lihat [Melindungi data menggunakan enkripsi sisi server dengan kunci enkripsi Amazon S3 terkelola (SSE-S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)) di Panduan Pengguna. Amazon S3 *
ROSA menggunakan protokol Transport Layer Security (TLS) untuk mengamankan data dalam perjalanan ke dan dari registri gambar. Untuk informasi selengkapnya, lihat [Registry](https://docs.redhat.com/en/documentation/red_hat_openshift_service_on_aws/4/html/registry/index) di dokumentasi Red Hat.
## Privasi lalu lintas antarjaringan
Layanan OpenShift Red Hat di AWS menggunakan Amazon Virtual Private Cloud (Amazon VPC) untuk membuat batasan antara sumber daya di ROSA klaster Anda dan mengontrol lalu lintas di antara mereka, jaringan lokal Anda, dan internet. Untuk informasi selengkapnya tentang Amazon VPC keamanan, lihat [Privasi lalu lintas Internetwork Amazon VPC di Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html) *Panduan Pengguna*.
Di dalam VPC, Anda dapat mengonfigurasi ROSA cluster Anda untuk menggunakan server proxy HTTP atau HTTPS untuk menolak akses internet langsung. Jika Anda adalah administrator klaster, Anda juga dapat menentukan kebijakan jaringan di tingkat pod yang membatasi lalu lintas internetwork ke pod di klaster Anda. ROSA Untuk informasi selengkapnya, lihat [Keamanan infrastruktur di ROSA](infrastructure-security.md).
# Enkripsi data menggunakan KMS
ROSA digunakan AWS KMS untuk mengelola kunci dengan aman untuk data terenkripsi. Bidang kontrol, infrastruktur, dan volume node pekerja dienkripsi secara default menggunakan AWS managed yang KMS key disediakan oleh. Amazon EBS Ini KMS key memiliki alias`aws/ebs`. Volume persisten yang menggunakan kelas penyimpanan gp3 default juga dienkripsi secara default menggunakan ini. KMS key
ROSA Cluster yang baru dibuat dikonfigurasi untuk menggunakan kelas penyimpanan gp3 default untuk mengenkripsi volume persisten. Volume persisten yang dibuat dengan menggunakan kelas penyimpanan lain hanya dienkripsi jika kelas penyimpanan dikonfigurasi untuk dienkripsi. Untuk informasi selengkapnya tentang kelas penyimpanan ROSA bawaan, lihat [Mengonfigurasi penyimpanan persisten](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/storage/configuring-persistent-storage#persistent-storage-aws) dalam dokumentasi Red Hat.
Selama pembuatan klaster, Anda dapat memilih untuk mengenkripsi volume persisten di klaster menggunakan kunci Amazon EBS-provided default, atau menentukan simetris yang dikelola pelanggan Anda sendiri. KMS key Untuk informasi selengkapnya tentang membuat kunci, lihat [Membuat kunci KMS enkripsi simetris](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) di Panduan * AWS KMS Pengembang*.
Anda juga dapat mengenkripsi volume persisten untuk kontainer individual dalam klaster dengan mendefinisikan file. KMS key Ini berguna jika Anda memiliki kepatuhan eksplisit dan pedoman keamanan saat menerapkan ke. AWS Untuk informasi selengkapnya, lihat [Mengenkripsi volume persisten kontainer AWS dengan dokumentasi KMS key](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/storage/configuring-persistent-storage#aws-container-persistent-volumes-encrypt_persistent-storage-aws) dalam Red Hat.
Poin-poin berikut harus dipertimbangkan saat mengenkripsi volume persisten menggunakan milik Anda sendiri: KMS keys
+ Ketika Anda menggunakan enkripsi KMS dengan milik Anda sendiri KMS key, kuncinya harus ada Wilayah AWS sama dengan cluster Anda.
+ Ada biaya yang terkait dengan membuat dan menggunakan milik Anda sendiri KMS keys. Untuk informasi selengkapnya, lihat [harga AWS Key Management Service](https://aws.amazon.com/kms/pricing/).
# Identitas dan manajemen akses untuk ROSA
AWS Identity and Access Management (IAM) adalah Layanan AWS yang membantu administrator mengontrol akses ke AWS sumber daya dengan aman. IAM administrator mengontrol siapa yang dapat *diautentikasi* (masuk) dan *diberi wewenang* (memiliki izin) untuk menggunakan sumber daya. ROSA IAM adalah Layanan AWS yang dapat Anda gunakan tanpa biaya tambahan.
**Topics**
+ [Audiens](#security-iam-audience)
+ [Mengautentikasi dengan identitas](#security-iam-authentication)
+ [Mengelola akses menggunakan kebijakan](#security-iam-access-manage)
+ [ROSA contoh kebijakan berbasis identitas](security-iam-id-based-policy-examples.md)
+ [AWS kebijakan terkelola untuk ROSA](security-iam-awsmanpol.md)
+ [Memecahkan masalah ROSA identitas dan akses](security-iam-troubleshoot.md)
## Audiens
Cara Anda menggunakan AWS Identity and Access Management (IAM) berbeda, tergantung pada pekerjaan yang Anda lakukan ROSA.
**Pengguna layanan** - Jika Anda menggunakan ROSA layanan untuk melakukan pekerjaan Anda, maka administrator Anda memberi Anda kredensi dan izin yang Anda butuhkan. Saat Anda menggunakan lebih banyak ROSA fitur untuk melakukan pekerjaan Anda, Anda mungkin memerlukan izin tambahan. Memahami cara akses dikelola dapat membantu Anda meminta izin yang tepat dari administrator Anda. Jika Anda tidak dapat mengakses fitur ROSA, lihat[Memecahkan masalah ROSA identitas dan akses](security-iam-troubleshoot.md).
**Administrator layanan** - Jika Anda bertanggung jawab atas ROSA sumber daya di perusahaan Anda, Anda mungkin memiliki akses penuh ke ROSA. Tugas Anda adalah menentukan ROSA fitur dan sumber daya mana yang harus diakses pengguna layanan Anda. Anda kemudian harus mengirimkan permintaan ke IAM administrator Anda untuk mengubah izin pengguna layanan Anda. Tinjau informasi di halaman ini untuk memahami konsep dasar IAM.
** IAM administrator** - Jika Anda seorang IAM administrator, Anda mungkin ingin mempelajari detail tentang kebijakan yang digunakan untuk mengelola akses ROSA. Untuk melihat contoh kebijakan ROSA berbasis identitas yang dapat Anda gunakan, lihat. IAM[ROSA contoh kebijakan berbasis identitas](security-iam-id-based-policy-examples.md)
## Mengautentikasi dengan identitas
Otentikasi adalah cara Anda masuk AWS menggunakan kredensi identitas Anda. Anda harus *diautentikasi* (masuk ke AWS) sebagai pengguna Akun AWS root Pengguna IAM, atau dengan mengambil peran IAM .
Anda dapat masuk AWS sebagai identitas federasi dengan menggunakan kredensil yang disediakan melalui sumber identitas. AWS IAM Identity Center (IAM Identity Center) pengguna, autentikasi masuk tunggal perusahaan Anda, dan kredensi Google atau Facebook Anda adalah contoh identitas gabungan. Saat Anda masuk sebagai identitas federasi, administrator Anda sebelumnya menyiapkan federasi identitas menggunakan IAM peran. Ketika Anda mengakses AWS dengan menggunakan federasi, Anda secara tidak langsung mengambil peran.
Bergantung pada jenis pengguna Anda, Anda dapat masuk ke Konsol Manajemen AWS atau portal AWS akses. Untuk informasi selengkapnya tentang masuk AWS, lihat [Cara Akun AWS masuk ke](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) *Panduan Pengguna AWS Masuk*.
Jika Anda mengakses AWS secara terprogram, AWS sediakan kit pengembangan perangkat lunak (SDK) dan antarmuka baris perintah (CLI) untuk menandatangani permintaan Anda secara kriptografis menggunakan kredensil Anda. Jika Anda tidak menggunakan AWS alat, Anda harus menandatangani permintaan sendiri. Untuk informasi selengkapnya tentang menggunakan metode yang disarankan untuk menandatangani permintaan sendiri, lihat [Menandatangani permintaan AWS API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-signing.html) di *Panduan IAM Pengguna*.
Terlepas dari metode autentikasi yang Anda gunakan, Anda mungkin juga diminta untuk menyediakan informasi keamanan tambahan. Misalnya, AWS merekomendasikan agar Anda menggunakan otentikasi multi-faktor (MFA) untuk meningkatkan keamanan akun Anda. *Untuk mempelajari lebih lanjut, lihat [Autentikasi multi-faktor](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-mfa.html) di Panduan Pengguna *Pusat AWS Identitas IAM (penerus AWS Single Sign-On) dan Menggunakan [otentikasi multi-faktor (MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)) di Panduan Pengguna* IAM. AWS*
### Akun AWS pengguna root
Saat Anda membuat Akun AWS, Anda mulai dengan satu identitas masuk yang memiliki akses lengkap ke semua Layanan AWS dan sumber daya di akun. Identitas ini disebut pengguna Akun AWS root dan diakses dengan masuk dengan alamat email dan kata sandi yang Anda gunakan untuk membuat akun. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari Anda. Lindungi kredensil pengguna root Anda dan gunakan untuk melakukan tugas yang hanya dapat dilakukan oleh pengguna root. Untuk daftar lengkap tugas yang mengharuskan Anda masuk sebagai pengguna root, lihat [Tugas yang memerlukan kredensi pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-tasks.html) di * IAM Panduan Pengguna*.
### Identitas terfederasi
Sebagai praktik terbaik, mewajibkan pengguna manusia, termasuk pengguna yang memerlukan akses administrator, untuk menggunakan federasi dengan penyedia identitas untuk mengakses Layanan AWS dengan menggunakan kredensi sementara.
Identitas federasi adalah pengguna dari direktori pengguna perusahaan Anda, penyedia identitas web, direktori Pusat Identitas AWS Directory Service, atau pengguna mana pun yang mengakses Layanan AWS dengan menggunakan kredensil yang disediakan melalui sumber identitas. Ketika identitas federasi mengakses Akun AWS, mereka mengambil peran, dan peran memberikan kredensi sementara.
Untuk manajemen akses terpusat, kami sarankan Anda menggunakan AWS IAM Identity Center. Anda dapat membuat pengguna dan grup di Pusat Identitas IAM, atau Anda dapat menghubungkan dan menyinkronkan ke sekumpulan pengguna dan grup di sumber identitas Anda sendiri untuk digunakan di semua aplikasi Akun AWS dan aplikasi Anda. Untuk informasi tentang Pusat Identitas IAM, lihat [Apa itu Pusat Identitas IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) di Panduan Pengguna *Pusat AWS Identitas IAM (penerus AWS Single Sign-On)*.
### Pengguna IAM dan kelompok
An *[Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*adalah identitas dalam diri Anda Akun AWS yang memiliki izin khusus untuk satu orang atau aplikasi. Jika memungkinkan, sebaiknya mengandalkan kredensi sementara daripada membuat Pengguna IAM yang memiliki kredensi jangka panjang seperti kata sandi dan kunci akses. Namun, jika Anda memiliki kasus penggunaan khusus yang memerlukan kredensyal jangka panjang Pengguna IAM, kami sarankan Anda memutar kunci akses. Untuk informasi selengkapnya, lihat [Merotasi kunci akses secara teratur untuk kasus penggunaan yang memerlukan kredensial jangka panjang](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials) dalam *Panduan Pengguna IAM*.
[IAM Grup](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) adalah identitas yang menentukan kumpulan. Pengguna IAM Anda tidak dapat masuk sebagai grup. Anda dapat menggunakan grup untuk menentukan izin bagi beberapa pengguna sekaligus. Grup mempermudah manajemen izin untuk sejumlah besar pengguna sekaligus. Misalnya, Anda dapat memiliki grup bernama *IAMAdmins*dan memberikan izin grup tersebut untuk mengelola sumber daya IAM .
Pengguna berbeda dari peran. Pengguna secara unik terkait dengan satu orang atau aplikasi, tetapi peran dimaksudkan untuk dapat digunakan oleh siapa pun yang membutuhkannya. Pengguna memiliki kredensial jangka panjang permanen, tetapi peran memberikan kredensial sementara. Untuk mempelajari lebih lanjut, lihat [Kapan membuat Pengguna IAM (bukan peran)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose) di *Panduan Pengguna IAM*.
### IAM peran
*[IAM Peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* adalah identitas dalam diri Anda Akun AWS yang memiliki izin khusus. Ini mirip dengan Pengguna IAM, tetapi tidak terkait dengan orang tertentu. Anda dapat mengambil IAM peran sementara Konsol Manajemen AWS dengan [beralih peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html). Anda dapat mengambil peran dengan memanggil operasi AWS CLI atau AWS API atau dengan menggunakan URL kustom. Untuk informasi selengkapnya tentang metode penggunaan peran, lihat [Menggunakan IAM peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html) dalam *Panduan Pengguna IAM*.
IAM peran dengan kredensi sementara berguna dalam situasi berikut:
+ **Akses pengguna terfederasi** - Untuk menetapkan izin ke identitas federasi, Anda membuat peran dan menentukan izin untuk peran tersebut. Ketika identitas terfederasi mengautentikasi, identitas tersebut terhubung dengan peran dan diberi izin yang ditentukan oleh peran. Untuk informasi tentang peran untuk federasi, lihat [Membuat peran untuk Penyedia Identitas pihak ketiga](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html) dalam *Panduan Pengguna IAM*. Jika menggunakan Pusat Identitas IAM, Anda harus mengonfigurasi set izin. Untuk mengontrol apa yang dapat diakses identitas Anda setelah diautentikasi, IAM Identity Center mengkorelasikan izin yang disetel ke peran. IAM Untuk informasi tentang set izin, lihat [Set izin](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) di Panduan Pengguna *Pusat Identitas AWS IAM (penerus AWS Single Sign-On*).
+ ** Pengguna IAM Izin sementara** - Seorang Pengguna IAM dapat mengambil IAM peran untuk sementara mengambil izin yang berbeda untuk tugas tertentu.
+ **Akses lintas akun** - Anda dapat menggunakan IAM peran untuk memungkinkan seseorang (prinsipal tepercaya) di akun lain untuk mengakses sumber daya di akun Anda. Peran adalah cara utama untuk memberikan akses lintas akun. Namun, dengan beberapa Layanan AWS, Anda dapat melampirkan kebijakan secara langsung ke sumber daya (alih-alih menggunakan peran sebagai proxy). *Untuk mempelajari perbedaan antara peran dan kebijakan berbasis sumber daya untuk akses lintas akun, [lihat Perbedaan IAM peran dari kebijakan berbasis sumber daya di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html).*
+ **Akses lintas layanan** - Beberapa Layanan AWS menggunakan fitur lain Layanan AWS. Misalnya, ketika Anda melakukan panggilan dalam suatu layanan, biasanya layanan tersebut menjalankan aplikasi di Amazon EC2 atau menyimpan objek Amazon S3. Layanan mungkin melakukan ini menggunakan izin kepala panggilan, menggunakan peran layanan, atau menggunakan peran terkait layanan.
+ **Forward Access Sessions** (FAS) - Ketika Anda menggunakan peran Pengguna IAM atau untuk melakukan tindakan AWS, Anda dianggap sebagai prinsipal. Ketika Anda menggunakan beberapa layanan, Anda mungkin melakukan sebuah tindakan yang kemudian menginisiasi tindakan lain di layanan yang berbeda. FAS menggunakan izin dari pemanggilan utama Layanan AWS, dikombinasikan dengan permintaan Layanan AWS untuk membuat permintaan ke layanan hilir. Permintaan FAS hanya dibuat ketika layanan menerima permintaan yang memerlukan interaksi dengan orang lain Layanan AWS atau sumber daya untuk menyelesaikannya. Dalam hal ini, Anda harus memiliki izin untuk melakukan kedua tindakan tersebut. Untuk detail kebijakan ketika mengajukan permintaan FAS, lihat [Sesi akses terusan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
+ **Peran layanan** - Peran layanan adalah IAM peran yang diasumsikan layanan untuk melakukan tindakan atas nama Anda. IAM Administrator dapat membuat, memodifikasi, dan menghapus peran layanan dari dalam IAM. Untuk informasi selengkapnya, lihat [Membuat sebuah peran untuk mendelegasikan izin ke Layanan AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dalam *Panduan pengguna IAM*.
+ **Peran terkait layanan - Peran** terkait layanan adalah jenis peran layanan yang ditautkan ke. Layanan AWS Layanan tersebut dapat menjalankan peran untuk melakukan tindakan atas nama Anda. Peran terkait layanan muncul di IAM akun Anda dan dimiliki oleh layanan. IAM Administrator dapat melihat, tetapi tidak mengedit izin untuk peran terkait layanan.
+ **Aplikasi berjalan pada Amazon EC2 ** - Anda dapat menggunakan IAM peran untuk mengelola kredensional sementara untuk aplikasi yang berjalan pada Amazon EC2 instance dan membuat AWS CLI atau permintaan AWS API. Ini lebih baik untuk menyimpan kunci akses dalam Amazon EC2 instance. Untuk menetapkan AWS peran ke Amazon EC2 instance dan membuatnya tersedia untuk semua aplikasinya, Anda membuat profil instance yang dilampirkan ke instance. Profil instance berisi peran dan memungkinkan program yang berjalan pada Amazon EC2 instance untuk mendapatkan kredensyal sementara. Untuk informasi selengkapnya, lihat [Menggunakan IAM peran untuk memberikan izin ke aplikasi yang berjalan pada Amazon EC2 instance di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html) Pengguna *IAM*.
Untuk mempelajari apakah akan menggunakan IAM peran atau IAM pengguna, lihat [Kapan membuat IAM peran (bukan pengguna)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose_role) di *Panduan Pengguna IAM*.
## Mengelola akses menggunakan kebijakan
Anda mengontrol akses AWS dengan membuat kebijakan dan melampirkannya ke AWS identitas atau sumber daya. Kebijakan adalah objek AWS yang, ketika dikaitkan dengan identitas atau sumber daya, menentukan izinnya. AWS mengevaluasi kebijakan ini ketika prinsipal (pengguna, pengguna root, atau sesi peran) membuat permintaan. Izin dalam kebijakan menentukan apakah permintaan diizinkan atau ditolak. Sebagian besar kebijakan disimpan AWS sebagai dokumen JSON. Untuk informasi selengkapnya tentang struktur dan isi dokumen kebijakan JSON, lihat [Gambaran umum kebijakan JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dalam *Panduan Pengguna IAM*.
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, **principal** dapat melakukan **tindakan** pada suatu **sumber daya**, dan dalam suatu **syarat**.
Secara default, pengguna dan peran tidak memiliki izin. Untuk memberikan izin kepada pengguna untuk melakukan tindakan pada sumber daya yang mereka butuhkan, IAM administrator dapat membuat IAM kebijakan. Administrator kemudian dapat menambahkan IAM kebijakan ke peran, dan pengguna dapat mengambil peran.
IAM kebijakan menentukan izin untuk tindakan terlepas dari metode yang Anda gunakan untuk melakukan operasi. Misalnya, anggaplah Anda memiliki kebijakan yang mengizinkan tindakan `iam:GetRole`. Pengguna dengan kebijakan tersebut bisa mendapatkan informasi peran dari Konsol Manajemen AWS, API AWS CLI, atau AWS API.
### Kebijakan berbasis identitas
Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang dapat Anda lampirkan ke identitas, seperti peran Pengguna IAM, atau grup. Kebijakan ini mengontrol jenis tindakan yang dapat dilakukan oleh pengguna dan peran, di sumber daya mana, dan berdasarkan kondisi seperti apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Membuat IAM kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) di Panduan Pengguna *IAM*.
Kebijakan berbasis identitas dapat dikategorikan lebih lanjut sebagai *kebijakan inline* atau *kebijakan yang dikelola*. Kebijakan inline disematkan langsung ke satu pengguna, grup, atau peran. Kebijakan terkelola adalah kebijakan mandiri yang dapat Anda lampirkan ke beberapa pengguna, grup, dan peran dalam. Akun AWS Kebijakan AWS terkelola mencakup kebijakan terkelola dan kebijakan yang dikelola pelanggan. Untuk mempelajari cara memilih antara kebijakan yang dikelola atau kebijakan inline, lihat [Memilih antara kebijakan yang dikelola dan kebijakan inline](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#choosing-managed-or-inline) dalam *Panduan Pengguna IAM*.
### Kebijakan berbasis sumber daya
Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. *Contoh kebijakan berbasis sumber daya adalah kebijakan *kepercayaan IAM peran dan kebijakan bucket*. Amazon S3 * Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Untuk sumber daya tempat kebijakan dilampirkan, kebijakan menentukan tindakan apa yang dapat dilakukan oleh principal tertentu pada sumber daya tersebut dan dalam kondisi apa. Anda harus [menentukan principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam kebijakan berbasis sumber daya. Prinsipal dapat mencakup akun, pengguna, peran, pengguna federasi, atau. Layanan AWS
Kebijakan berbasis sumber daya merupakan kebijakan inline yang terletak di layanan tersebut. Anda tidak dapat menggunakan kebijakan AWS terkelola IAM dalam kebijakan berbasis sumber daya.
### Daftar kontrol akses (ACLs)
Access control lists (ACLs) mengontrol prinsipal mana (anggota akun, pengguna, atau peran) yang memiliki izin untuk mengakses sumber daya. ACLs mirip dengan kebijakan berbasis sumber daya, meskipun mereka tidak menggunakan format dokumen kebijakan JSON.
Amazon S3, AWS WAF, dan Amazon VPC merupakan contoh layanan yang mendukung ACLs. Untuk mempelajari selengkapnya ACLs, lihat [Ringkasan Daftar Kontrol Akses (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*.
### Jenis-jenis kebijakan lain
AWS mendukung jenis kebijakan tambahan yang kurang umum. Jenis-jenis kebijakan ini dapat mengatur izin maksimum yang diberikan kepada Anda oleh jenis kebijakan yang lebih umum.
+ **Batas izin** - Batas izin adalah fitur lanjutan tempat Anda menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas (atau peran). IAM Pengguna IAM Anda dapat menetapkan batasan izin untuk suatu entitas. Izin yang dihasilkan adalah persimpangan kebijakan berbasis identitas entitas dan batas izinnya. Kebijakan berbasis sumber daya yang menentukan pengguna atau peran dalam bidang `Principal` tidak dibatasi oleh batasan izin. Penolakan eksplisit dalam salah satu kebijakan ini akan menggantikan pemberian izin. Untuk informasi selengkapnya tentang batas izin, lihat [Batas izin untuk IAM entitas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) di Panduan Pengguna *IAM*.
+ **Kebijakan kontrol layanan (SCPs)** - SCPs adalah kebijakan JSON yang menentukan izin maksimum untuk organisasi atau unit organisasi (OU) di. AWS Organizations AWS Organizations adalah layanan untuk mengelompokkan dan mengelola secara terpusat beberapa Akun AWS yang dimiliki bisnis Anda. Jika Anda mengaktifkan semua fitur dalam suatu organisasi, maka Anda dapat menerapkan kebijakan kontrol layanan (SCPs) ke salah satu atau semua akun Anda. SCP membatasi izin untuk entitas di akun anggota, termasuk setiap pengguna Akun AWS root. Untuk informasi selengkapnya tentang Organizations dan SCPs, lihat [Kebijakan kontrol layanan (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) di *Panduan AWS Organizations Pengguna*.
+ **Kebijakan sesi** - Kebijakan sesi adalah kebijakan lanjutan yang Anda lewati sebagai parameter saat Anda membuat sesi sementara secara terprogram untuk peran atau pengguna gabungan. Izin sesi yang dihasilkan adalah persimpangan kebijakan berbasis identitas pengguna atau peran dan kebijakan sesi. Izin juga bisa datang dari kebijakan berbasis sumber daya. Penolakan eksplisit dalam salah satu kebijakan ini akan menggantikan pemberian izin. Untuk informasi selengkapnya, lihat [Kebijakan sesi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dalam *Panduan Pengguna IAM*.
### Berbagai jenis kebijakan
Ketika beberapa jenis kebijakan berlaku pada suatu permintaan, izin yang dihasilkan lebih rumit untuk dipahami. Untuk mempelajari cara AWS menentukan apakah akan mengizinkan permintaan saat beberapa jenis kebijakan terlibat, lihat [Logika evaluasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) di *Panduan Pengguna IAM*.
# ROSA contoh kebijakan berbasis identitas
Secara default, Pengguna IAM dan peran tidak memiliki izin untuk membuat atau memodifikasi AWS sumber daya. Mereka juga tidak dapat melakukan tugas menggunakan Konsol Manajemen AWS, AWS CLI, atau AWS API. IAM Administrator harus membuat IAM kebijakan yang memberikan izin kepada pengguna dan peran untuk melakukan operasi API tertentu pada sumber daya tertentu yang mereka butuhkan. Administrator kemudian harus melampirkan kebijakan tersebut ke grup Pengguna IAM atau yang memerlukan izin tersebut.
*Untuk mempelajari cara membuat kebijakan IAM berbasis identitas menggunakan contoh dokumen kebijakan JSON ini, lihat [Membuat kebijakan pada tab JSON di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor).*
## Menggunakan ROSA konsol
Untuk berlangganan ROSA dari konsol, kepala sekolah IAM Anda harus memiliki AWS Marketplace izin yang diperlukan. Izin memungkinkan kepala sekolah untuk berlangganan dan berhenti berlangganan daftar ROSA produk AWS Marketplace dan melihat AWS Marketplace langganan. Untuk menambahkan izin yang diperlukan, buka [ROSA konsol](https://console.aws.amazon.com/rosa) dan lampirkan kebijakan AWS terkelola `ROSAManageSubscription` ke kepala IAM Anda. Untuk informasi selengkapnya tentang `ROSAManageSubscription`, lihat [AWS kebijakan terkelola: ROSAManage Berlangganan](security-iam-awsmanpol.md#security-iam-awsmanpol-rosamanagesubscription).
## Otorisasi ROSA dengan HCP untuk mengelola sumber daya AWS
ROSA dengan pesawat kontrol yang dihosting (HCP) menggunakan kebijakan AWS terkelola dengan izin yang diperlukan untuk operasi dan dukungan layanan. Anda menggunakan ROSA CLI atau IAM konsol untuk melampirkan kebijakan ini ke peran layanan di Anda. Akun AWS
Untuk informasi selengkapnya, lihat [AWS kebijakan terkelola untuk ROSA](security-iam-awsmanpol.md).
## Mengotorisasi ROSA classic untuk mengelola sumber daya AWS
ROSA classic menggunakan kebijakan IAM yang dikelola pelanggan dengan izin yang telah ditentukan sebelumnya oleh layanan. Anda menggunakan ROSA CLI untuk membuat kebijakan ini dan melampirkannya ke peran layanan di Anda. Akun AWS ROSA mensyaratkan bahwa kebijakan ini dikonfigurasi sebagaimana didefinisikan oleh layanan untuk memastikan operasi berkelanjutan dan dukungan layanan.
**catatan**
Anda tidak boleh mengubah kebijakan klasik ROSA tanpa terlebih dahulu berkonsultasi dengan Red Hat. Melakukan hal itu dapat membatalkan perjanjian tingkat layanan uptime klaster Red Hat 99,95%. ROSA dengan pesawat kontrol yang di-host menggunakan kebijakan AWS terkelola dengan serangkaian izin yang lebih terbatas. Untuk informasi selengkapnya, lihat [AWS kebijakan terkelola untuk ROSA](security-iam-awsmanpol.md).
Ada dua jenis kebijakan yang dikelola pelanggan untuk ROSA: kebijakan akun dan kebijakan operator. Kebijakan akun dilampirkan pada IAM peran yang digunakan layanan untuk membangun hubungan kepercayaan dengan Red Hat untuk dukungan insinyur keandalan situs (SRE), pembuatan klaster, dan fungsionalitas komputasi. Kebijakan operator dilampirkan ke IAM peran yang digunakan OpenShift operator untuk operasi klaster yang terkait dengan ingress, storage, image registry, dan node management. Kebijakan akun dibuat satu kali per Akun AWS, sedangkan kebijakan operator dibuat satu kali per klaster.
Untuk informasi selengkapnya, lihat [Kebijakan akun ROSA classic](security-iam-rosa-classic-account-policies.md) dan [Kebijakan operator ROSA classic](security-iam-rosa-classic-operator-policies.md).
## Mengizinkan pengguna melihat izin mereka sendiri
Contoh ini menunjukkan cara membuat kebijakan yang memungkinkan Pengguna IAM untuk melihat kebijakan sebaris dan terkelola yang dilampirkan pada identitas penggunanya. Kebijakan ini mencakup izin untuk menyelesaikan tindakan ini di konsol atau secara terprogram menggunakan. AWS CLI
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Effect": "Allow",
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
# Kebijakan akun ROSA classic
Bagian ini memberikan rincian tentang kebijakan akun yang diperlukan untuk ROSA classic. Izin ini diperlukan untuk ROSA classic untuk mengelola AWS sumber daya yang dijalankan cluster dan memungkinkan dukungan insinyur keandalan situs Red Hat untuk cluster. Anda dapat menetapkan awalan khusus untuk nama kebijakan, tetapi kebijakan ini harus diberi nama seperti yang ditentukan pada halaman ini (misalnya,`ManagedOpenShift-Installer-Role-Policy`).
Kebijakan akun khusus untuk versi rilis OpenShift minor dan kompatibel ke belakang. Sebelum membuat atau memutakhirkan klaster, Anda harus memverifikasi bahwa versi kebijakan dan versi klaster sama dengan `rosa list account-roles` menjalankannya. Jika versi kebijakan kurang dari versi klaster, jalankan `rosa upgrade account-roles` untuk memutakhirkan peran dan kebijakan terlampir. Anda dapat menggunakan kebijakan dan peran akun yang sama untuk beberapa kluster dari versi rilis minor yang sama.
## [Awalan] -Installer-Role-Policy
Anda dapat melampirkan `[Prefix]-Installer-Role-Policy` ke entitas IAM Anda. Sebelum Anda dapat membuat klaster klasik ROSA, Anda harus terlebih dahulu melampirkan kebijakan ini ke peran IAM bernama. `[Prefix]-Installer-Role` Kebijakan ini memberikan izin yang diperlukan yang memungkinkan ROSA penginstal mengelola AWS sumber daya yang diperlukan untuk pembuatan klaster.
### Kebijakan izin
Izin yang ditentukan dalam dokumen kebijakan ini menentukan tindakan mana yang diizinkan atau ditolak.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"autoscaling:DescribeAutoScalingGroups",
"ec2:AllocateAddress",
"ec2:AssociateAddress",
"ec2:AssociateDhcpOptions",
"ec2:AssociateRouteTable",
"ec2:AttachInternetGateway",
"ec2:AttachNetworkInterface",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CopyImage",
"ec2:CreateDhcpOptions",
"ec2:CreateInternetGateway",
"ec2:CreateNatGateway",
"ec2:CreateNetworkInterface",
"ec2:CreateRoute",
"ec2:CreateRouteTable",
"ec2:CreateSecurityGroup",
"ec2:CreateSubnet",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:CreateVpc",
"ec2:CreateVpcEndpoint",
"ec2:DeleteDhcpOptions",
"ec2:DeleteInternetGateway",
"ec2:DeleteNatGateway",
"ec2:DeleteNetworkInterface",
"ec2:DeleteRoute",
"ec2:DeleteRouteTable",
"ec2:DeleteSecurityGroup",
"ec2:DeleteSnapshot",
"ec2:DeleteSubnet",
"ec2:DeleteTags",
"ec2:DeleteVolume",
"ec2:DeleteVpc",
"ec2:DeleteVpcEndpoints",
"ec2:DeregisterImage",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAddresses",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeDhcpOptions",
"ec2:DescribeImages",
"ec2:DescribeInstanceAttribute",
"ec2:DescribeInstanceCreditSpecifications",
"ec2:DescribeInstances",
"ec2:DescribeInstanceStatus",
"ec2:DescribeInstanceTypeOfferings",
"ec2:DescribeInstanceTypes",
"ec2:DescribeInternetGateways",
"ec2:DescribeKeyPairs",
"ec2:DescribeNatGateways",
"ec2:DescribeNetworkAcls",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribePrefixLists",
"ec2:DescribeRegions",
"ec2:DescribeReservedInstancesOfferings",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSecurityGroupRules",
"ec2:DescribeSubnets",
"ec2:DescribeTags",
"ec2:DescribeVolumes",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcClassicLink",
"ec2:DescribeVpcClassicLinkDnsSupport",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcs",
"ec2:DetachInternetGateway",
"ec2:DisassociateRouteTable",
"ec2:GetConsoleOutput",
"ec2:GetEbsDefaultKmsKeyId",
"ec2:ModifyInstanceAttribute",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:ModifySubnetAttribute",
"ec2:ModifyVpcAttribute",
"ec2:ReleaseAddress",
"ec2:ReplaceRouteTableAssociation",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:RunInstances",
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:TerminateInstances",
"elasticloadbalancing:AddTags",
"elasticloadbalancing:ApplySecurityGroupsToLoadBalancer",
"elasticloadbalancing:AttachLoadBalancerToSubnets",
"elasticloadbalancing:ConfigureHealthCheck",
"elasticloadbalancing:CreateListener",
"elasticloadbalancing:CreateLoadBalancer",
"elasticloadbalancing:CreateLoadBalancerListeners",
"elasticloadbalancing:CreateTargetGroup",
"elasticloadbalancing:DeleteLoadBalancer",
"elasticloadbalancing:DeleteTargetGroup",
"elasticloadbalancing:DeregisterInstancesFromLoadBalancer",
"elasticloadbalancing:DeregisterTargets",
"elasticloadbalancing:DescribeAccountLimits",
"elasticloadbalancing:DescribeInstanceHealth",
"elasticloadbalancing:DescribeListeners",
"elasticloadbalancing:DescribeLoadBalancerAttributes",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeTags",
"elasticloadbalancing:DescribeTargetGroupAttributes",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeTargetHealth",
"elasticloadbalancing:ModifyLoadBalancerAttributes",
"elasticloadbalancing:ModifyTargetGroup",
"elasticloadbalancing:ModifyTargetGroupAttributes",
"elasticloadbalancing:RegisterInstancesWithLoadBalancer",
"elasticloadbalancing:RegisterTargets",
"elasticloadbalancing:SetLoadBalancerPoliciesOfListener",
"iam:AddRoleToInstanceProfile",
"iam:CreateInstanceProfile",
"iam:DeleteInstanceProfile",
"iam:GetInstanceProfile",
"iam:TagInstanceProfile",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:GetUser",
"iam:ListAttachedRolePolicies",
"iam:ListInstanceProfiles",
"iam:ListInstanceProfilesForRole",
"iam:ListRolePolicies",
"iam:ListRoles",
"iam:ListUserPolicies",
"iam:ListUsers",
"iam:RemoveRoleFromInstanceProfile",
"iam:SimulatePrincipalPolicy",
"iam:TagRole",
"iam:UntagRole",
"route53:ChangeResourceRecordSets",
"route53:ChangeTagsForResource",
"route53:CreateHostedZone",
"route53:DeleteHostedZone",
"route53:GetAccountLimit",
"route53:GetChange",
"route53:GetHostedZone",
"route53:ListHostedZones",
"route53:ListHostedZonesByName",
"route53:ListResourceRecordSets",
"route53:ListTagsForResource",
"route53:UpdateHostedZoneComment",
"s3:CreateBucket",
"s3:DeleteBucket",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:GetAccelerateConfiguration",
"s3:GetBucketAcl",
"s3:GetBucketCORS",
"s3:GetBucketLocation",
"s3:GetBucketLogging",
"s3:GetBucketObjectLockConfiguration",
"s3:GetBucketPolicy",
"s3:GetReplicationConfiguration",
"s3:GetBucketRequestPayment",
"s3:GetBucketTagging",
"s3:GetBucketVersioning",
"s3:GetBucketWebsite",
"s3:GetEncryptionConfiguration",
"s3:GetLifecycleConfiguration",
"s3:GetObject",
"s3:GetObjectAcl",
"s3:GetObjectTagging",
"s3:GetObjectVersion",
"s3:GetReplicationConfiguration",
"s3:ListBucket",
"s3:ListBucketVersions",
"s3:PutBucketAcl",
"s3:PutBucketTagging",
"s3:PutBucketVersioning",
"s3:PutEncryptionConfiguration",
"s3:PutObject",
"s3:PutObjectAcl",
"s3:PutObjectTagging",
"servicequotas:GetServiceQuota",
"servicequotas:ListAWSDefaultServiceQuotas",
"sts:AssumeRole",
"sts:AssumeRoleWithWebIdentity",
"sts:GetCallerIdentity",
"tag:GetResources",
"tag:UntagResources",
"ec2:CreateVpcEndpointServiceConfiguration",
"ec2:DeleteVpcEndpointServiceConfigurations",
"ec2:DescribeVpcEndpointServiceConfigurations",
"ec2:DescribeVpcEndpointServicePermissions",
"ec2:DescribeVpcEndpointServices",
"ec2:ModifyVpcEndpointServicePermissions",
"kms:DescribeKey",
"cloudwatch:GetMetricData"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"secretsmanager:GetSecretValue"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/red-hat-managed": "true"
}
}
}
]
}
```
## [Awalan] - ControlPlane -Peran-Kebijakan
Anda dapat melampirkan `[Prefix]-ControlPlane-Role-Policy` ke entitas IAM Anda. Sebelum Anda dapat membuat klaster klasik ROSA, Anda harus terlebih dahulu melampirkan kebijakan ini ke peran IAM bernama. `[Prefix]-ControlPlane-Role` Kebijakan ini memberikan izin yang diperlukan kepada ROSA classic untuk mengelola Amazon EC2 dan Elastic Load Balancing sumber daya yang menghosting bidang ROSA kontrol, serta membaca. KMS keys
### Kebijakan izin
Izin yang ditentukan dalam dokumen kebijakan ini menentukan tindakan mana yang diizinkan atau ditolak.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ec2:AttachVolume",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:DeleteSecurityGroup",
"ec2:DeleteVolume",
"ec2:Describe*",
"ec2:DetachVolume",
"ec2:ModifyInstanceAttribute",
"ec2:ModifyVolume",
"ec2:RevokeSecurityGroupIngress",
"elasticloadbalancing:AddTags",
"elasticloadbalancing:AttachLoadBalancerToSubnets",
"elasticloadbalancing:ApplySecurityGroupsToLoadBalancer",
"elasticloadbalancing:CreateListener",
"elasticloadbalancing:CreateLoadBalancer",
"elasticloadbalancing:CreateLoadBalancerPolicy",
"elasticloadbalancing:CreateLoadBalancerListeners",
"elasticloadbalancing:CreateTargetGroup",
"elasticloadbalancing:ConfigureHealthCheck",
"elasticloadbalancing:DeleteListener",
"elasticloadbalancing:DeleteLoadBalancer",
"elasticloadbalancing:DeleteLoadBalancerListeners",
"elasticloadbalancing:DeleteTargetGroup",
"elasticloadbalancing:DeregisterInstancesFromLoadBalancer",
"elasticloadbalancing:DeregisterTargets",
"elasticloadbalancing:Describe*",
"elasticloadbalancing:DetachLoadBalancerFromSubnets",
"elasticloadbalancing:ModifyListener",
"elasticloadbalancing:ModifyLoadBalancerAttributes",
"elasticloadbalancing:ModifyTargetGroup",
"elasticloadbalancing:ModifyTargetGroupAttributes",
"elasticloadbalancing:RegisterInstancesWithLoadBalancer",
"elasticloadbalancing:RegisterTargets",
"elasticloadbalancing:SetLoadBalancerPoliciesForBackendServer",
"elasticloadbalancing:SetLoadBalancerPoliciesOfListener",
"kms:DescribeKey"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
## [Awalan] -Worker-Role-Policy
Anda dapat melampirkan `[Prefix]-Worker-Role-Policy` ke entitas IAM Anda. Sebelum Anda dapat membuat klaster klasik ROSA, Anda harus terlebih dahulu melampirkan kebijakan ini ke peran IAM bernama. `[Prefix]-Worker-Role` Kebijakan ini memberikan izin yang diperlukan ke ROSA classic untuk mendeskripsikan instans EC2 yang berjalan sebagai node pekerja.
### Kebijakan izin
Izin yang ditentukan dalam dokumen kebijakan ini menentukan tindakan mana yang diizinkan atau ditolak.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeRegions"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
## [Awalan] -Dukungan-Peran-Kebijakan
Anda dapat melampirkan `[Prefix]-Support-Role-Policy` ke entitas IAM Anda. Sebelum Anda dapat membuat klaster klasik ROSA, Anda harus terlebih dahulu melampirkan kebijakan ini ke peran IAM bernama. `[Prefix]-Support-Role` Kebijakan ini memberikan izin yang diperlukan untuk rekayasa keandalan situs Red Hat untuk mengamati, mendiagnosis, dan mendukung AWS sumber daya yang digunakan klaster klasik ROSA, termasuk kemampuan untuk mengubah status node cluster.
### Kebijakan izin
Izin yang ditentukan dalam dokumen kebijakan ini menentukan tindakan mana yang diizinkan atau ditolak.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"cloudtrail:DescribeTrails",
"cloudtrail:LookupEvents",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"ec2-instance-connect:SendSerialConsoleSSHPublicKey",
"ec2:CopySnapshot",
"ec2:CreateNetworkInsightsPath",
"ec2:CreateSnapshot",
"ec2:CreateSnapshots",
"ec2:CreateTags",
"ec2:DeleteNetworkInsightsAnalysis",
"ec2:DeleteNetworkInsightsPath",
"ec2:DeleteTags",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAddresses",
"ec2:DescribeAddressesAttribute",
"ec2:DescribeAggregateIdFormat",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeByoipCidrs",
"ec2:DescribeCapacityReservations",
"ec2:DescribeCarrierGateways",
"ec2:DescribeClassicLinkInstances",
"ec2:DescribeClientVpnAuthorizationRules",
"ec2:DescribeClientVpnConnections",
"ec2:DescribeClientVpnEndpoints",
"ec2:DescribeClientVpnRoutes",
"ec2:DescribeClientVpnTargetNetworks",
"ec2:DescribeCoipPools",
"ec2:DescribeCustomerGateways",
"ec2:DescribeDhcpOptions",
"ec2:DescribeEgressOnlyInternetGateways",
"ec2:DescribeIamInstanceProfileAssociations",
"ec2:DescribeIdentityIdFormat",
"ec2:DescribeIdFormat",
"ec2:DescribeImageAttribute",
"ec2:DescribeImages",
"ec2:DescribeInstanceAttribute",
"ec2:DescribeInstances",
"ec2:DescribeInstanceStatus",
"ec2:DescribeInstanceTypeOfferings",
"ec2:DescribeInstanceTypes",
"ec2:DescribeInternetGateways",
"ec2:DescribeIpv6Pools",
"ec2:DescribeKeyPairs",
"ec2:DescribeLaunchTemplates",
"ec2:DescribeLocalGatewayRouteTables",
"ec2:DescribeLocalGatewayRouteTableVirtualInterfaceGroupAssociations",
"ec2:DescribeLocalGatewayRouteTableVpcAssociations",
"ec2:DescribeLocalGateways",
"ec2:DescribeLocalGatewayVirtualInterfaceGroups",
"ec2:DescribeLocalGatewayVirtualInterfaces",
"ec2:DescribeManagedPrefixLists",
"ec2:DescribeNatGateways",
"ec2:DescribeNetworkAcls",
"ec2:DescribeNetworkInsightsAnalyses",
"ec2:DescribeNetworkInsightsPaths",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribePlacementGroups",
"ec2:DescribePrefixLists",
"ec2:DescribePrincipalIdFormat",
"ec2:DescribePublicIpv4Pools",
"ec2:DescribeRegions",
"ec2:DescribeReservedInstances",
"ec2:DescribeRouteTables",
"ec2:DescribeScheduledInstances",
"ec2:DescribeSecurityGroupReferences",
"ec2:DescribeSecurityGroupRules",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSnapshotAttribute",
"ec2:DescribeSnapshots",
"ec2:DescribeSpotFleetInstances",
"ec2:DescribeStaleSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeTags",
"ec2:DescribeTransitGatewayAttachments",
"ec2:DescribeTransitGatewayConnectPeers",
"ec2:DescribeTransitGatewayConnects",
"ec2:DescribeTransitGatewayMulticastDomains",
"ec2:DescribeTransitGatewayPeeringAttachments",
"ec2:DescribeTransitGatewayRouteTables",
"ec2:DescribeTransitGateways",
"ec2:DescribeTransitGatewayVpcAttachments",
"ec2:DescribeVolumeAttribute",
"ec2:DescribeVolumes",
"ec2:DescribeVolumesModifications",
"ec2:DescribeVolumeStatus",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcClassicLink",
"ec2:DescribeVpcClassicLinkDnsSupport",
"ec2:DescribeVpcEndpointConnectionNotifications",
"ec2:DescribeVpcEndpointConnections",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcEndpointServiceConfigurations",
"ec2:DescribeVpcEndpointServicePermissions",
"ec2:DescribeVpcEndpointServices",
"ec2:DescribeVpcPeeringConnections",
"ec2:DescribeVpcs",
"ec2:DescribeVpnConnections",
"ec2:DescribeVpnGateways",
"ec2:GetAssociatedIpv6PoolCidrs",
"ec2:GetConsoleOutput",
"ec2:GetManagedPrefixListEntries",
"ec2:GetSerialConsoleAccessStatus",
"ec2:GetTransitGatewayAttachmentPropagations",
"ec2:GetTransitGatewayMulticastDomainAssociations",
"ec2:GetTransitGatewayPrefixListReferences",
"ec2:GetTransitGatewayRouteTableAssociations",
"ec2:GetTransitGatewayRouteTablePropagations",
"ec2:ModifyInstanceAttribute",
"ec2:RebootInstances",
"ec2:RunInstances",
"ec2:SearchLocalGatewayRoutes",
"ec2:SearchTransitGatewayMulticastGroups",
"ec2:SearchTransitGatewayRoutes",
"ec2:StartInstances",
"ec2:StartNetworkInsightsAnalysis",
"ec2:StopInstances",
"ec2:TerminateInstances",
"elasticloadbalancing:ConfigureHealthCheck",
"elasticloadbalancing:DescribeAccountLimits",
"elasticloadbalancing:DescribeInstanceHealth",
"elasticloadbalancing:DescribeListenerCertificates",
"elasticloadbalancing:DescribeListeners",
"elasticloadbalancing:DescribeLoadBalancerAttributes",
"elasticloadbalancing:DescribeLoadBalancerPolicies",
"elasticloadbalancing:DescribeLoadBalancerPolicyTypes",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeRules",
"elasticloadbalancing:DescribeSSLPolicies",
"elasticloadbalancing:DescribeTags",
"elasticloadbalancing:DescribeTargetGroupAttributes",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeTargetHealth",
"iam:GetRole",
"iam:ListRoles",
"kms:CreateGrant",
"route53:GetHostedZone",
"route53:GetHostedZoneCount",
"route53:ListHostedZones",
"route53:ListHostedZonesByName",
"route53:ListResourceRecordSets",
"s3:GetBucketTagging",
"s3:GetObjectAcl",
"s3:GetObjectTagging",
"s3:ListAllMyBuckets",
"sts:DecodeAuthorizationMessage",
"tiros:CreateQuery",
"tiros:GetQueryAnswer",
"tiros:GetQueryExplanation"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"s3:ListBucket"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::managed-velero*",
"arn:aws:s3:::*image-registry*"
]
}
]
}
```
# Kebijakan operator ROSA classic
Bagian ini memberikan rincian tentang kebijakan operator yang diperlukan untuk ROSA classic. Sebelum Anda dapat membuat klaster klasik ROSA, Anda harus terlebih dahulu melampirkan kebijakan ini ke peran operator yang relevan. Satu set peran operator yang unik diperlukan untuk setiap cluster.
Izin ini diperlukan untuk memungkinkan OpenShift operator mengelola node cluster klasik ROSA. Anda dapat menetapkan awalan kustom ke nama kebijakan untuk menyederhanakan pengelolaan kebijakan (misalnya,). `ManagedOpenShift-openshift-ingress-operator-cloud-credentials`
## [Awalan] - openshift-ingress-operator-cloud -credentials
Anda dapat melampirkan `[Prefix]-openshift-ingress-operator-cloud-credentials` ke entitas IAM Anda. Kebijakan ini memberikan izin yang diperlukan kepada Operator Ingress untuk menyediakan dan mengelola penyeimbang beban dan konfigurasi DNS untuk akses klaster eksternal. Kebijakan ini juga memungkinkan Operator Ingress membaca dan memfilter nilai tag Route 53 sumber daya untuk menemukan zona yang dihosting. Untuk informasi selengkapnya tentang operator, lihat [Operator OpenShift Ingress](https://github.com/openshift/cluster-ingress-operator) di OpenShift GitHub dokumentasi.
### Kebijakan izin
Izin yang ditentukan dalam dokumen kebijakan ini menentukan tindakan mana yang diizinkan atau ditolak.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"elasticloadbalancing:DescribeLoadBalancers",
"route53:ListHostedZones",
"route53:ListTagsForResources",
"route53:ChangeResourceRecordSets",
"tag:GetResources"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
## [Awalan] - - openshift-cluster-csi-drivers ebs-cloud-credentials
Anda dapat melampirkan `[Prefix]-openshift-cluster-csi-drivers-ebs-cloud-credentials` ke entitas IAM Anda. Kebijakan ini memberikan izin yang diperlukan kepada Operator Driver Amazon EBS CSI untuk menginstal dan memelihara driver Amazon EBS CSI pada klaster klasik ROSA. Untuk informasi selengkapnya tentang operator, lihat [aws-ebs-csi-driver-operator](https://github.com/openshift/aws-ebs-csi-driver-operator#aws-ebs-csi-driver-operator) di OpenShift GitHub dokumentasi.
### Kebijakan izin
Izin yang ditentukan dalam dokumen kebijakan ini menentukan tindakan mana yang diizinkan atau ditolak.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ec2:AttachVolume",
"ec2:CreateSnapshot",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:DeleteSnapshot",
"ec2:DeleteTags",
"ec2:DeleteVolume",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeInstances",
"ec2:DescribeSnapshots",
"ec2:DescribeTags",
"ec2:DescribeVolumes",
"ec2:DescribeVolumesModifications",
"ec2:DetachVolume",
"ec2:EnableFastSnapshotRestores",
"ec2:ModifyVolume"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
## [Awalan] - openshift-machine-api-aws -cloud-credentials
Anda dapat melampirkan `[Prefix]-openshift-machine-api-aws-cloud-credentials` ke entitas IAM Anda. Kebijakan ini memberikan izin yang diperlukan kepada Operator Machine Config untuk mendeskripsikan, menjalankan, dan menghentikan Amazon EC2 instance yang dikelola sebagai node pekerja. Kebijakan ini juga memberikan izin untuk mengizinkan enkripsi disk dari volume root node pekerja yang digunakan. AWS KMS keys Untuk informasi selengkapnya tentang operator, lihat [machine-config-operator](https://github.com/openshift/machine-config-operator)di OpenShift GitHub dokumentasi.
### Kebijakan izin
Izin yang ditentukan dalam dokumen kebijakan ini menentukan tindakan mana yang diizinkan atau ditolak.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ec2:CreateTags",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeDhcpOptions",
"ec2:DescribeImages",
"ec2:DescribeInstances",
"ec2:DescribeInternetGateways",
"ec2:DescribeInstanceTypes",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRegions",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:RunInstances",
"ec2:TerminateInstances",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeTargetHealth",
"elasticloadbalancing:RegisterInstancesWithLoadBalancer",
"elasticloadbalancing:RegisterTargets",
"elasticloadbalancing:DeregisterTargets",
"iam:CreateServiceLinkedRole"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKey",
"kms:GenerateDataKeyWithoutPlainText",
"kms:DescribeKey"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"kms:RevokeGrant",
"kms:CreateGrant",
"kms:ListGrants"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
}
]
}
```
## [Awalan] - openshift-cloud-credential-operator -cloud-credentials
Anda dapat melampirkan `[Prefix]-openshift-cloud-credential-operator-cloud-credentials` ke entitas IAM Anda. Kebijakan ini memberikan izin yang diperlukan kepada Cloud Credential Operator untuk mengambil Pengguna IAM detail, termasuk kunci akses, dokumen kebijakan sebaris yang dilampirkan IDs, tanggal pembuatan pengguna, jalur, ID pengguna, dan Nama Sumber Daya Amazon (ARN). Untuk informasi selengkapnya tentang operator, lihat [cloud-credential-operator](https://github.com/openshift/cloud-credential-operator)di OpenShift GitHub dokumentasi.
### Kebijakan izin
Izin yang ditentukan dalam dokumen kebijakan ini menentukan tindakan mana yang diizinkan atau ditolak.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iam:GetUser",
"iam:GetUserPolicy",
"iam:ListAccessKeys"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
## [Awalan] - openshift-image-registry-installer -cloud-credentials
Anda dapat melampirkan `[Prefix]-openshift-image-registry-installer-cloud-credentials` ke entitas IAM Anda. Kebijakan ini memberikan izin yang diperlukan kepada Operator Registri Gambar untuk menyediakan dan mengelola sumber daya untuk registri gambar dalam klaster ROSA classic dan layanan dependen, termasuk. Amazon S3 Ini diperlukan agar operator dapat menginstal dan memelihara registri internal cluster klasik ROSA. Untuk informasi selengkapnya tentang operator, lihat [Image Registry Operator](https://github.com/openshift/cluster-image-registry-operator#image-registry-operator) dalam OpenShift GitHub dokumentasi.
### Kebijakan izin
Izin yang ditentukan dalam dokumen kebijakan ini menentukan tindakan mana yang diizinkan atau ditolak.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"s3:CreateBucket",
"s3:DeleteBucket",
"s3:PutBucketTagging",
"s3:GetBucketTagging",
"s3:PutBucketPublicAccessBlock",
"s3:GetBucketPublicAccessBlock",
"s3:PutEncryptionConfiguration",
"s3:GetEncryptionConfiguration",
"s3:PutLifecycleConfiguration",
"s3:GetLifecycleConfiguration",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:ListBucketMultipartUploads",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
## [Awalan] - - openshift-cloud-network-config controller-cloud-cr
Anda dapat melampirkan `[Prefix]-openshift-cloud-network-config-controller-cloud-cr` ke entitas IAM Anda. Kebijakan ini memberikan izin yang diperlukan kepada Operator Pengontrol Konfigurasi Jaringan Cloud untuk menyediakan dan mengelola sumber daya jaringan untuk digunakan oleh overlay jaringan klaster klasik ROSA. Operator menggunakan izin ini untuk mengelola alamat IP pribadi untuk Amazon EC2 instance sebagai bagian dari cluster klasik ROSA. Untuk informasi selengkapnya tentang operator, lihat [C loud-network-config-controller](https://github.com/openshift/cloud-network-config-controller#cloud-network-config-controller-cncc) di OpenShift GitHub dokumentasi.
### Kebijakan izin
Izin yang ditentukan dalam dokumen kebijakan ini menentukan tindakan mana yang diizinkan atau ditolak.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeInstanceStatus",
"ec2:DescribeInstanceTypes",
"ec2:UnassignPrivateIpAddresses",
"ec2:AssignPrivateIpAddresses",
"ec2:UnassignIpv6Addresses",
"ec2:AssignIpv6Addresses",
"ec2:DescribeSubnets",
"ec2:DescribeNetworkInterfaces"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
# AWS kebijakan terkelola untuk ROSA
Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.
Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan [kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) yang khusus untuk kasus penggunaan Anda.
Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pembaruan akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau operasi API baru tersedia untuk layanan yang ada. Untuk informasi selengkapnya, lihat [kebijakan AWS terkelola](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) di *Panduan IAM Pengguna*.
## AWS kebijakan terkelola: ROSAManage Berlangganan
Anda dapat melampirkan `ROSAManageSubscription` kebijakan ke IAM entitas Anda. Sebelum mengaktifkan ROSA di AWS ROSA konsol, Anda harus terlebih dahulu melampirkan kebijakan ini ke peran IAM.
Kebijakan ini memberikan AWS Marketplace izin yang diperlukan bagi Anda untuk mengelola langganan. ROSA
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `aws-marketplace:Subscribe`- Memberikan izin untuk berlangganan AWS Marketplace produk untuk ROSA.
+ `aws-marketplace:Unsubscribe`- Memungkinkan kepala sekolah untuk menghapus langganan produk. AWS Marketplace
+ `aws-marketplace:ViewSubscriptions`- Memungkinkan kepala sekolah untuk melihat langganan dari. AWS Marketplace Ini diperlukan agar IAM kepala sekolah dapat melihat AWS Marketplace langganan yang tersedia.
Untuk melihat dokumen kebijakan JSON lengkap, lihat [ROSAManageBerlangganan](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAManageSubscription.html) di *Panduan Referensi Kebijakan AWS Terkelola*.
## ROSA dengan kebijakan akun HCP
Bagian ini memberikan rincian tentang kebijakan akun yang diperlukan untuk ROSA dengan pesawat kontrol yang dihosting (HCP). Kebijakan AWS terkelola ini menambahkan izin yang digunakan oleh ROSA dengan peran IAM HCP. Izin diperlukan untuk dukungan teknis rekayasa keandalan situs Red Hat (SRE), instalasi cluster, dan bidang kontrol dan fungsionalitas komputasi.
**catatan**
AWS kebijakan terkelola dimaksudkan untuk digunakan oleh ROSA dengan pesawat kontrol yang dihosting (HCP). Kluster klasik ROSA menggunakan kebijakan IAM yang dikelola pelanggan. Untuk informasi selengkapnya tentang kebijakan klasik ROSA, lihat [Kebijakan akun ROSA classic](security-iam-rosa-classic-account-policies.md) dan[Kebijakan operator ROSA classic](security-iam-rosa-classic-operator-policies.md).
### AWS kebijakan terkelola: ROSAWorker InstancePolicy
Anda dapat melampirkan `ROSAWorkerInstancePolicy` ke IAM entitas Anda. Sebelum membuat klaster, Anda harus memiliki peran IAM dengan kebijakan ini terlampir. Layanan ROSA melakukan panggilan ke orang lain Layanan AWS atas nama Anda. Mereka melakukan ini untuk mengelola sumber daya yang Anda gunakan dengan setiap cluster.
**Detail izin**
Kebijakan ini mencakup izin berikut yang memungkinkan node pekerja ROSA menyelesaikan tugas berikut:
+ `ec2`— Evaluasi Wilayah AWS dan detail Amazon EC2 instance sebagai bagian dari manajemen siklus hidup node pekerja cluster ROSA.
+ `ecr`- Evaluasi dan dapatkan gambar dari repositori ECR yang dikelola ROSA yang diperlukan untuk instalasi cluster dan manajemen siklus hidup node pekerja.
Untuk melihat dokumen kebijakan JSON lengkap, lihat [ROSAWorkerInstancePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAWorkerInstancePolicy.html)di *Panduan Referensi Kebijakan AWS Terkelola*.
### AWS kebijakan terkelola: ROSASRESupport Kebijakan
Anda dapat melampirkan `ROSASRESupportPolicy` ke entitas IAM Anda.
Sebelum membuat ROSA dengan cluster control plane yang dihosting, Anda harus terlebih dahulu melampirkan kebijakan ini ke peran IAM. Kebijakan ini memberikan izin yang diperlukan kepada teknisi keandalan situs Red Hat (SREs) untuk secara langsung mengamati, mendiagnosis, dan mendukung AWS sumber daya yang terkait dengan ROSA cluster, termasuk kemampuan untuk mengubah status node ROSA cluster.
**Detail izin**
Kebijakan ini mencakup izin berikut yang memungkinkan Red Hat menyelesaikan SREs tugas-tugas berikut:
+ `cloudtrail`— Baca AWS CloudTrail acara dan jejak yang relevan dengan cluster.
+ `cloudwatch`— Baca Amazon CloudWatch metrik yang relevan dengan cluster.
+ `ec2`Baca, jelaskan, dan tinjau Amazon EC2 komponen yang terkait dengan kesehatan klaster seperti grup keamanan, koneksi titik akhir VPC, dan status volume. Luncurkan, hentikan, reboot, dan akhiri Amazon EC2 instance.
+ `elasticloadbalancing`— Baca, jelaskan, dan tinjau Elastic Load Balancing parameter yang terkait dengan kesehatan cluster.
+ `iam`— Mengevaluasi IAM peran yang berhubungan dengan kesehatan cluster.
+ `route53`— Tinjau pengaturan DNS yang terkait dengan kesehatan cluster.
+ `sts`— `DecodeAuthorizationMessage` — Baca IAM pesan untuk tujuan debugging.
Untuk melihat dokumen kebijakan JSON lengkap, lihat [ROSASRESupportKebijakan](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSASRESupportPolicy.html) dalam *Panduan Referensi Kebijakan AWS Terkelola*.
### AWS kebijakan terkelola: ROSAInstaller Kebijakan
Anda dapat melampirkan `ROSAInstallerPolicy` ke IAM entitas Anda.
Sebelum membuat ROSA dengan cluster control planes yang dihosting, Anda harus terlebih dahulu melampirkan kebijakan ini ke peran IAM yang diberi nama. `[Prefix]-ROSA-Worker-Role` Kebijakan ini memungkinkan entitas untuk menambahkan peran apa pun yang mengikuti `[Prefix]-ROSA-Worker-Role` pola ke profil instance. Kebijakan ini memberikan izin yang diperlukan kepada penginstal untuk mengelola AWS sumber daya yang mendukung ROSA penginstalan klaster.
**Detail izin**
Kebijakan ini mencakup izin berikut yang memungkinkan penginstal menyelesaikan tugas-tugas berikut:
+ `ec2`— Jalankan Amazon EC2 instance menggunakan AMIs host yang Akun AWS dimiliki dan dikelola oleh Red Hat. Jelaskan Amazon EC2 contoh, volume, dan sumber daya jaringan yang terkait dengan Amazon EC2 node. Izin ini diperlukan agar control plane Kubernetes dapat menggabungkan instance ke cluster, dan cluster dapat mengevaluasi keberadaannya di dalamnya. Amazon VPC Periksa Reservasi Kapasitas Amazon EC2 untuk mendukung fitur Reservasi Kapasitas baru di ROSA. Tag dan hapus tag pada subnet menggunakan tombol tag yang cocok`"kubernetes.io/cluster/*"`. Hal ini diperlukan untuk memastikan bahwa penyeimbang beban yang digunakan untuk masuknya klaster hanya dibuat di subnet yang berlaku dan untuk mengelola tag identifikasi klaster Kubernetes.
+ `elasticloadbalancing`— Tambahkan penyeimbang beban ke node target pada cluster. Hapus penyeimbang beban dari node target pada cluster. Izin ini diperlukan agar control plane Kubernetes dapat secara dinamis menyediakan load balancer yang diminta oleh layanan Kubernetes dan layanan aplikasi. OpenShift
+ `kms`— Baca AWS KMS kunci, buat dan kelola hibah Amazon EC2, dan kembalikan kunci data simetris unik untuk digunakan di luar. AWS KMS Ini diperlukan untuk penggunaan `etcd` data terenkripsi saat `etcd` enkripsi diaktifkan pada pembuatan cluster.
+ `iam`— Validasi peran dan kebijakan IAM. Menyediakan dan mengelola profil Amazon EC2 instans yang relevan dengan cluster secara dinamis. Tambahkan tag ke profil instans IAM dengan menggunakan `iam:TagInstanceProfile` izin. Berikan pesan kesalahan penginstal saat penginstalan klaster gagal karena penyedia OIDC cluster yang ditentukan pelanggan tidak ada.
+ `route53`— Mengelola Route 53 sumber daya yang dibutuhkan untuk membuat cluster.
+ `servicequotas`— Evaluasi kuota layanan yang diperlukan untuk membuat cluster.
+ `sts`— Buat AWS STS kredensi sementara untuk ROSA komponen. Asumsikan kredensil untuk pembuatan cluster.
+ `secretsmanager`— Baca nilai rahasia untuk mengizinkan konfigurasi OIDC yang dikelola pelanggan dengan aman sebagai bagian dari penyediaan klaster.
Untuk melihat dokumen kebijakan JSON lengkap, lihat [ROSAInstallerKebijakan](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAInstallerPolicy.html) dalam *Panduan Referensi Kebijakan AWS Terkelola*.
### AWS kebijakan terkelola: ROSAShared VPCRoute53 Kebijakan
Anda dapat melampirkan `ROSASharedVPCRoute53Policy` ke IAM entitas Anda. Anda harus melampirkan kebijakan ini ke peran IAM untuk mengizinkan klaster ROSA melakukan panggilan ke lingkungan VPC Layanan AWS bersama lainnya.
Kebijakan ini memungkinkan penginstal ROSA untuk mengonfigurasi catatan Route 53. Kebijakan ini dimaksudkan untuk digunakan pada VPC bersama dan menyediakan subset izin Route 53 yang disesuaikan untuk kasus penggunaan VPC bersama.
**Detail izin**
Kebijakan ini mencakup izin berikut yang memungkinkan penginstal ROSA menyelesaikan tugas-tugas berikut:
+ `route53`— Baca informasi zona DNS dan catatan DNS yang ada untuk memahami konfigurasi DNS saat ini. Membuat, memodifikasi, dan menghapus catatan DNS, tetapi hanya untuk pola domain terkait ROSA tertentu termasuk`.hypershift.local`,,, `.openshiftapps.com``.devshift.org`, `.openshiftusgov.com` dan. `.devshiftusgov.com` Menambahkan, memodifikasi, atau menghapus tag pada sumber daya Route 53 untuk manajemen sumber daya dan organisasi.
+ `tag`— Temukan dan daftar AWS sumber daya berdasarkan tag mereka, yang berguna untuk mengidentifikasi sumber daya yang dikelola oleh ROSA.
[Untuk melihat detail selengkapnya tentang kebijakan, termasuk versi terbaru dari dokumen kebijakan JSON, lihat ROSAShared VPCRoute53 Kebijakan di *Panduan Referensi Kebijakan AWS Terkelola*.](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSASharedVPCRoute53Policy.html)
### AWS kebijakan terkelola: ROSAShared VPCEndpoint Kebijakan
Anda dapat melampirkan `ROSASharedVPCEndpointPolicy` ke IAM entitas Anda. Anda harus melampirkan kebijakan ini ke peran IAM untuk mengizinkan klaster ROSA melakukan panggilan ke lingkungan VPC Layanan AWS bersama lainnya.
Kebijakan ini memungkinkan penginstal ROSA untuk mengonfigurasi titik akhir VPC dan grup keamanan di lingkungan VPC bersama.
**Detail izin**
Kebijakan ini mencakup izin berikut yang memungkinkan penginstal ROSA menyelesaikan tugas-tugas berikut:
+ `ec2`— Izin hanya-baca untuk menggambarkan sumber daya terkait VPC termasuk titik akhir VPC VPCs,, dan grup keamanan untuk memahami lingkungan jaringan. Membuat, menghapus, dan memodifikasi grup keamanan dengan pembatasan berbasis tag, memungkinkan ROSA untuk membuat dan mengelola grup keamanan untuk jaringan cluster sambil membatasi operasi hanya untuk sumber daya yang ditandai ROSA. Buat, modifikasi, dan hapus titik akhir VPC dengan batasan berbasis tag, memungkinkan ROSA membuat dan mengelola titik akhir VPC untuk konektivitas pribadi ke lingkungan VPC bersama. Layanan AWS Terapkan tag ke titik akhir VPC dan grup keamanan yang baru dibuat selama pembuatan untuk identifikasi dan pengelolaan sumber daya yang tepat.
[Untuk melihat detail selengkapnya tentang kebijakan, termasuk versi terbaru dari dokumen kebijakan JSON, lihat ROSAShared VPCEndpoint Kebijakan di *Panduan Referensi Kebijakan AWS Terkelola*.](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSASharedVPCEndpointPolicy.html)
## ROSA dengan kebijakan operator HCP
Bagian ini memberikan rincian tentang kebijakan operator yang diperlukan untuk ROSA dengan pesawat kontrol yang dihosting (HCP). Anda dapat melampirkan kebijakan AWS terkelola ini ke peran operator yang diperlukan untuk menggunakan ROSA dengan HCP. Izin diperlukan untuk memungkinkan OpenShift operator mengelola ROSA dengan node cluster HCP.
**catatan**
AWS kebijakan terkelola dimaksudkan untuk digunakan oleh ROSA dengan pesawat kontrol yang dihosting (HCP). Kluster klasik ROSA menggunakan kebijakan IAM yang dikelola pelanggan. Untuk informasi selengkapnya tentang kebijakan klasik ROSA, lihat [Kebijakan akun ROSA classic](security-iam-rosa-classic-account-policies.md) dan[Kebijakan operator ROSA classic](security-iam-rosa-classic-operator-policies.md).
### AWS kebijakan terkelola: ROSAAmazon EBSCSIDriver OperatorPolicy
Anda dapat melampirkan `ROSAAmazonEBSCSIDriverOperatorPolicy` ke IAM entitas Anda. Anda harus melampirkan kebijakan ini ke peran IAM operator untuk mengizinkan ROSA dengan cluster pesawat kontrol yang dihosting untuk melakukan panggilan ke yang lain. Layanan AWS Satu set peran operator yang unik diperlukan untuk setiap cluster.
Kebijakan ini memberikan izin yang diperlukan kepada Operator Driver Amazon EBS CSI untuk menginstal dan memelihara driver Amazon EBS CSI di klaster. ROSA Untuk informasi selengkapnya tentang operator, lihat [aws-ebs-csi-driver operator](https://github.com/openshift/aws-ebs-csi-driver-operator#aws-ebs-csi-driver-operator) di OpenShift GitHub dokumentasi.
**Detail izin**
Kebijakan ini mencakup izin berikut yang memungkinkan Operator Amazon EBS Pengemudi menyelesaikan tugas-tugas berikut:
+ `ec2`— Membuat, memodifikasi, melampirkan, melepaskan, dan menghapus Amazon EBS volume yang dilampirkan ke Amazon EC2 instance. Buat dan hapus snapshot Amazon EBS volume dan daftar Amazon EC2 instance, volume, dan snapshot.
Untuk melihat dokumen kebijakan JSON lengkap, lihat [ROSAAmazonEBSCSIDriverOperatorPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAAmazonEBSCSIDriverOperatorPolicy.html)di *Panduan Referensi Kebijakan AWS Terkelola*.
### AWS kebijakan terkelola: ROSAIngress OperatorPolicy
Anda dapat melampirkan `ROSAIngressOperatorPolicy` ke IAM entitas Anda. Anda harus melampirkan kebijakan ini ke peran IAM operator untuk mengizinkan ROSA dengan cluster pesawat kontrol yang dihosting untuk melakukan panggilan ke yang lain. Layanan AWS Satu set peran operator yang unik diperlukan untuk setiap cluster.
Kebijakan ini memberikan izin yang diperlukan kepada Operator Ingress untuk menyediakan dan mengelola penyeimbang beban dan konfigurasi DNS untuk klaster. ROSA Kebijakan ini memungkinkan akses baca ke nilai tag. Operator kemudian memfilter nilai tag untuk Route 53 sumber daya untuk menemukan zona yang dihosting. Untuk informasi selengkapnya tentang operator, lihat [Operator OpenShift Ingress](https://github.com/openshift/cluster-ingress-operator#openshift-ingress-operator) di OpenShift GitHub dokumentasi.
**Detail izin**
Kebijakan ini mencakup izin berikut yang memungkinkan Operator Ingress menyelesaikan tugas-tugas berikut:
+ `elasticloadbalancing`— Jelaskan keadaan penyeimbang beban yang disediakan.
+ `route53`— Buat daftar zona yang Route 53 dihosting dan edit catatan yang mengelola DNS yang dikendalikan oleh cluster ROSA.
+ `tag`— Kelola sumber daya yang ditandai dengan menggunakan `tag:GetResources` izin.
Untuk melihat dokumen kebijakan JSON lengkap, lihat [ROSAIngressOperatorPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAIngressOperatorPolicy.html)di *Panduan Referensi Kebijakan AWS Terkelola*.
### AWS kebijakan terkelola: ROSAImage RegistryOperatorPolicy
Anda dapat melampirkan `ROSAImageRegistryOperatorPolicy` ke IAM entitas Anda. Anda harus melampirkan kebijakan ini ke peran IAM operator untuk mengizinkan ROSA dengan cluster pesawat kontrol yang dihosting untuk melakukan panggilan ke yang lain. Layanan AWS Satu set peran operator yang unik diperlukan untuk setiap cluster.
Kebijakan ini memberikan izin yang diperlukan kepada Operator Registri Gambar untuk menyediakan dan mengelola sumber daya untuk registri gambar ROSA dalam klaster dan layanan dependen, termasuk S3. Ini diperlukan agar operator dapat menginstal dan memelihara registri internal ROSA cluster. Untuk informasi selengkapnya tentang operator, lihat [Image Registry Operator](https://github.com/openshift/cluster-image-registry-operator#image-registry-operator) dalam OpenShift GitHub dokumentasi.
**Detail izin**
Kebijakan ini mencakup izin berikut yang memungkinkan Operator Registri Gambar menyelesaikan tindakan berikut:
+ `s3`— Kelola dan evaluasi Amazon S3 bucket sebagai penyimpanan persisten untuk konten gambar kontainer dan metadata cluster.
Untuk melihat dokumen kebijakan JSON lengkap, lihat [ROSAImageRegistryOperatorPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAImageRegistryOperatorPolicy.html)di *Panduan Referensi Kebijakan AWS Terkelola*.
### AWS kebijakan terkelola: ROSACloud NetworkConfigOperatorPolicy
Anda dapat melampirkan `ROSACloudNetworkConfigOperatorPolicy` ke IAM entitas Anda. Anda harus melampirkan kebijakan ini ke peran IAM operator untuk mengizinkan ROSA dengan cluster pesawat kontrol yang dihosting untuk melakukan panggilan ke yang lain. Layanan AWS Satu set peran operator yang unik diperlukan untuk setiap cluster.
Kebijakan ini memberikan izin yang diperlukan kepada Operator Pengontrol Konfigurasi Jaringan Cloud untuk menyediakan dan mengelola sumber daya jaringan untuk hamparan jaringan klaster. ROSA Operator menggunakan izin ini untuk mengelola alamat IP pribadi untuk Amazon EC2 instance sebagai bagian dari cluster. ROSA Untuk informasi selengkapnya tentang operator, lihat [C loud-network-config-controller](https://github.com/openshift/cloud-network-config-controller#cloud-network-config-controller-cncc) di OpenShift GitHub dokumentasi.
**Detail izin**
Kebijakan ini mencakup izin berikut yang memungkinkan Operator Pengontrol Konfigurasi Jaringan Cloud menyelesaikan tugas-tugas berikut:
+ `ec2`— Baca, tetapkan, dan jelaskan konfigurasi untuk menghubungkan Amazon EC2 instance, Amazon VPC subnet, dan antarmuka jaringan elastis dalam sebuah cluster. ROSA
Untuk melihat dokumen kebijakan JSON lengkap, lihat [ROSACloudNetworkConfigOperatorPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSACloudNetworkConfigOperatorPolicy.html)di *Panduan Referensi Kebijakan AWS Terkelola*.
### AWS kebijakan terkelola: ROSAKube ControllerPolicy
Anda dapat melampirkan `ROSAKubeControllerPolicy` ke IAM entitas Anda. Anda harus melampirkan kebijakan ini ke peran IAM operator untuk mengizinkan ROSA dengan cluster pesawat kontrol yang dihosting untuk melakukan panggilan ke yang lain. Layanan AWS Satu set peran operator yang unik diperlukan untuk setiap cluster.
Kebijakan ini memberikan izin yang diperlukan kepada pengontrol kube untuk mengelola Amazon EC2 Elastic Load Balancing, dan AWS KMS sumber daya untuk ROSA dengan cluster bidang kontrol yang dihosting. Untuk informasi selengkapnya tentang controller ini, lihat [arsitektur Controller](https://hypershift-docs.netlify.app/reference/controller-architecture/) dalam OpenShift dokumentasi.
**Detail izin**
Kebijakan ini mencakup izin berikut yang memungkinkan pengontrol kube menyelesaikan tugas-tugas berikut:
+ `ec2`— Buat, hapus, dan tambahkan tag ke grup keamanan Amazon EC2 instance. Tambahkan aturan masuk ke grup keamanan. Jelaskan Availability Zone, Amazon EC2 instance, tabel rute, grup keamanan VPCs, dan subnet.
+ `elasticloadbalancing`— Membuat dan mengelola penyeimbang beban dan kebijakan mereka. Buat dan kelola pendengar penyeimbang beban. Daftar dan Deregister target dengan kelompok sasaran dan kelola kelompok sasaran. Daftarkan dan hapus registrasi Amazon EC2 instance dengan penyeimbang beban, dan tambahkan tag ke penyeimbang beban.
+ `kms`— Ambil informasi rinci tentang AWS KMS kunci. Ini diperlukan untuk penggunaan `etcd` data terenkripsi saat `etcd` enkripsi diaktifkan pada pembuatan cluster.
Untuk melihat dokumen kebijakan JSON lengkap, lihat [ROSAKubeControllerPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAKubeControllerPolicy.html)di *Panduan Referensi Kebijakan AWS Terkelola*.
### AWS kebijakan terkelola: ROSANode PoolManagementPolicy
Anda dapat melampirkan `ROSANodePoolManagementPolicy` ke IAM entitas Anda. Anda harus melampirkan kebijakan ini ke peran IAM operator untuk mengizinkan ROSA dengan cluster pesawat kontrol yang dihosting untuk melakukan panggilan ke layanan lain AWS . Satu set peran operator yang unik diperlukan untuk setiap cluster.
Kebijakan ini memberikan izin yang diperlukan kepada NodePool pengontrol untuk mendeskripsikan, menjalankan, dan menghentikan Amazon EC2 instance yang dikelola sebagai node pekerja. Kebijakan ini juga memberikan izin untuk mengizinkan enkripsi disk volume root node pekerja menggunakan AWS KMS kunci, untuk menandai elastis network interface yang dilampirkan ke node pekerja, dan untuk mengakses Amazon EC2 Capacity Reservations. Untuk informasi selengkapnya tentang controller ini, lihat [arsitektur Controller](https://hypershift-docs.netlify.app/reference/controller-architecture/) dalam OpenShift dokumentasi.
**Detail izin**
Kebijakan ini mencakup izin berikut yang memungkinkan NodePool pengontrol menyelesaikan tugas-tugas berikut:
+ `ec2`— Jalankan Amazon EC2 instance menggunakan AMIs host yang Akun AWS dimiliki dan dikelola oleh Red Hat. Kelola siklus hidup EC2 di cluster. ROSA Secara dinamis membuat dan mengintegrasikan node pekerja dengan Elastic Load Balancing,, Amazon VPC, Route 53 Amazon EBS, dan Amazon EC2. Akses dan jelaskan reservasi kapasitas untuk mendukung fitur Reservasi Kapasitas di ROSA.
+ `iam`— Gunakan Elastic Load Balancing melalui peran terkait layanan bernama. `AWSServiceRoleForElasticLoadBalancing` Tetapkan peran ke profil Amazon EC2 contoh.
+ `kms`— Baca AWS KMS kunci, buat dan kelola hibah Amazon EC2, dan kembalikan kunci data simetris unik untuk digunakan di luar. AWS KMS Ini diperlukan untuk memungkinkan enkripsi disk volume root node pekerja.
Untuk melihat dokumen kebijakan JSON lengkap, lihat [ROSANodePoolManagementPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSANodePoolManagementPolicy.html)di *Panduan Referensi Kebijakan AWS Terkelola*.
### AWS kebijakan terkelola: ROSAKMSProvider Kebijakan
Anda dapat melampirkan `ROSAKMSProviderPolicy` ke IAM entitas Anda. Anda harus melampirkan kebijakan ini ke peran IAM operator untuk mengizinkan ROSA dengan cluster pesawat kontrol yang dihosting untuk melakukan panggilan ke yang lain. Layanan AWS Satu set peran operator yang unik diperlukan untuk setiap cluster.
Kebijakan ini memberikan izin yang diperlukan kepada Penyedia AWS Enkripsi bawaan untuk mengelola AWS KMS kunci yang mendukung enkripsi `etcd` data. Kebijakan ini memungkinkan Amazon EC2 untuk menggunakan kunci KMS yang disediakan Penyedia AWS Enkripsi untuk mengenkripsi dan `etcd` mendekripsi data. Untuk informasi selengkapnya tentang penyedia ini, lihat [Penyedia AWS Enkripsi](https://github.com/kubernetes-sigs/aws-encryption-provider#aws-encryption-provider) di dokumentasi Kubernetes GitHub .
**Detail izin**
Kebijakan ini mencakup izin berikut yang memungkinkan Penyedia AWS Enkripsi menyelesaikan tugas-tugas berikut:
+ `kms`— Enkripsi, dekripsi, dan ambil kunci. AWS KMS Ini diperlukan untuk penggunaan `etcd` data terenkripsi saat `etcd` enkripsi diaktifkan pada pembuatan cluster.
Untuk melihat dokumen kebijakan JSON lengkap, lihat [ROSAKMSProviderKebijakan](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAKMSProviderPolicy.html) dalam *Panduan Referensi Kebijakan AWS Terkelola*.
### AWS kebijakan terkelola: ROSAControl PlaneOperatorPolicy
Anda dapat melampirkan `ROSAControlPlaneOperatorPolicy` ke IAM entitas Anda. Anda harus melampirkan kebijakan ini ke peran IAM operator untuk mengizinkan ROSA dengan cluster pesawat kontrol yang dihosting untuk melakukan panggilan ke yang lain. Layanan AWS Satu set peran operator yang unik diperlukan untuk setiap cluster.
Kebijakan ini memberikan izin yang diperlukan kepada Operator Pesawat Kontrol untuk mengelola Amazon EC2 dan Route 53 sumber daya ROSA dengan klaster pesawat kontrol yang dihosting. Untuk informasi selengkapnya tentang operator ini, lihat [Arsitektur pengontrol](https://hypershift-docs.netlify.app/reference/controller-architecture/) dalam OpenShift dokumentasi.
**Detail izin**
Kebijakan ini mencakup izin berikut yang memungkinkan Operator Control Plane menyelesaikan tugas-tugas berikut:
+ `ec2`— Buat dan kelola Amazon VPC titik akhir.
+ `route53`— Daftar dan ubah set Route 53 rekaman dan daftar zona yang dihosting.
Untuk melihat dokumen kebijakan JSON lengkap, lihat [ROSAControlPlaneOperatorPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAControlPlaneOperatorPolicy.html)di *Panduan Referensi Kebijakan AWS Terkelola*.
## ROSA pembaruan kebijakan AWS terkelola
Lihat detail tentang pembaruan kebijakan AWS terkelola ROSA sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan ke umpan RSS pada halaman [Riwayat dokumen](doc-history.md).
| Perubahan | Deskripsi | Date |
| --- | --- | --- |
| ROSANodePoolManagementPolicy — Kebijakan diperbarui | ROSA memperbarui kebijakan untuk menambahkan akses sumber daya untuk Reservasi Kapasitas Amazon EC2. Perubahan ini memungkinkan NodePool pengontrol untuk mengakses dan menjelaskan Reservasi Kapasitas untuk pengelolaan sumber daya yang lebih baik. Untuk mempelajari selengkapnya, lihat [AWS kebijakan terkelola: ROSANode PoolManagementPolicy](#security-iam-awsmanpol-rosanodepoolmanagementpolicy). | September 3, 2025 |
| ROSASharedVPCEndpointKebijakan - Kebijakan baru ditambahkan | ROSA menambahkan kebijakan baru untuk memungkinkan ROSA penginstal mengonfigurasi titik akhir VPC dan grup keamanan di lingkungan VPC bersama. Kebijakan ini menyediakan subset izin EC2 yang disesuaikan untuk kasus penggunaan VPC bersama. Untuk mempelajari selengkapnya, lihat [AWS kebijakan terkelola: ROSAShared VPCEndpoint Kebijakan](#security-iam-awsmanpol-rosasharedvpcendpointpolicy). | Agustus 7, 2025 |
| ROSASharedVPCRoute53Kebijakan - Kebijakan baru ditambahkan | ROSA menambahkan kebijakan baru untuk memungkinkan ROSA penginstal mengonfigurasi catatan Route 53 di lingkungan VPC bersama. Kebijakan ini menyediakan subset izin Route 53 yang disesuaikan untuk kasus penggunaan VPC bersama. Untuk mempelajari selengkapnya, lihat [AWS kebijakan terkelola: ROSAShared VPCRoute53 Kebijakan](#security-iam-awsmanpol-rosasharedvpcroute53policy). | Agustus 7, 2025 |
| ROSAInstallerKebijakan — Kebijakan diperbarui | ROSA memperbarui kebijakan untuk memungkinkan ROSA penginstal memeriksa Reservasi Kapasitas Amazon EC2 untuk mendukung fitur Reservasi Kapasitas baru di ROSA. Pembaruan ini juga memungkinkan penginstal untuk menghapus tag pada subnet menggunakan kunci tag yang cocok `"kubernetes.io/cluster/*"` untuk manajemen tag cluster Kubernetes yang ditingkatkan. Untuk mempelajari selengkapnya, lihat [AWS kebijakan terkelola: ROSAInstaller Kebijakan](#security-iam-awsmanpol-rosainstallerpolicy). | Agustus 7, 2025 |
| ROSAImageRegistryOperatorPolicy — Kebijakan diperbarui | ROSA memperbarui kebijakan sehingga izin dicakup ke tingkat sumber daya bucket S3. Perubahan ini memenuhi persyaratan penyimpanan ROSA untuk AWS Komersil dan GovCloud Wilayah. Untuk mempelajari selengkapnya, lihat [AWS kebijakan terkelola: ROSAImage RegistryOperatorPolicy](#security-iam-awsmanpol-rosaimageregistryoperatorpolicy). | 19 Mei 2025 |
| ROSANodePoolManagementPolicy — Kebijakan diperbarui | ROSA memperbarui kebijakan untuk memungkinkan penandaan elastis network interface yang dilampirkan ke node pekerja. Untuk mempelajari selengkapnya, lihat [AWS kebijakan terkelola: ROSANode PoolManagementPolicy](#security-iam-awsmanpol-rosanodepoolmanagementpolicy). | 5 Mei 2025 |
| ROSAImageRegistryOperatorPolicy — Kebijakan diperbarui | ROSA memperbarui kebijakan untuk mengizinkan Operator Registri OpenShift Gambar Red Hat menyediakan dan mengelola bucket dan objek Amazon S3 AWS GovCloud di Wilayah untuk digunakan oleh registri gambar dalam cluster ROSA. Perubahan ini memenuhi persyaratan penyimpanan ROSA untuk AWS GovCloud Wilayah. Untuk mempelajari selengkapnya, lihat [AWS kebijakan terkelola: ROSAImage RegistryOperatorPolicy](#security-iam-awsmanpol-rosaimageregistryoperatorpolicy). | April 16, 2025 |
| ROSAWorkerInstancePolicy — Kebijakan diperbarui | ROSA memperbarui kebijakan untuk memungkinkan node pekerja mengevaluasi dan mendapatkan gambar dari repositori ECR yang dikelola ROSA yang diperlukan untuk instalasi cluster dan manajemen siklus hidup node pekerja. Untuk mempelajari selengkapnya, lihat [AWS kebijakan terkelola: ROSAWorker InstancePolicy](#security-iam-awsmanpol-rosaworkerinstancepolicy). | Maret 3, 2025 |
| ROSANodePoolManagementPolicy — Kebijakan diperbarui | ROSA memperbarui kebijakan untuk mengizinkan antarmuka jaringan elastis diberi tag mirip dengan instans EC2 hanya selama RunInstances panggilan ec2: saat permintaan menyertakan tag. `red-hat-managed: true` Izin ini diperlukan untuk mendukung ROSA dengan cluster HCP 4.17. Untuk mempelajari selengkapnya, lihat [AWS kebijakan terkelola: ROSANode PoolManagementPolicy](#security-iam-awsmanpol-rosanodepoolmanagementpolicy). | Februari 24, 2025 |
| ROSAAmazonEBSCSIDriverOperatorPolicy — Kebijakan diperbarui | ROSA memperbarui kebijakan untuk mendukung API otorisasi Amazon EBS snapshot baru. Untuk mempelajari selengkapnya, lihat [AWS kebijakan terkelola: ROSAAmazon EBSCSIDriver OperatorPolicy](#security-iam-awsmanpol-rosaamazonebscsidriveroperatorpolicy). | Januari 17, 2025 |
| ROSANodePoolManagementPolicy — Kebijakan diperbarui | ROSA memperbarui kebijakan untuk memungkinkan pengelola kumpulan ROSA node mendeskripsikan kumpulan opsi DHCP untuk menyetel nama DNS pribadi yang tepat. Untuk mempelajari selengkapnya, lihat [AWS kebijakan terkelola: ROSANode PoolManagementPolicy](#security-iam-awsmanpol-rosanodepoolmanagementpolicy). | 2 Mei 2024 |
| ROSAInstallerKebijakan — Kebijakan diperbarui | ROSA memperbarui kebijakan untuk memungkinkan ROSA penginstal menambahkan tag ke subnet menggunakan pencocokan kunci tag. `"kubernetes.io/cluster/*"` Untuk mempelajari selengkapnya, lihat [AWS kebijakan terkelola: ROSAInstaller Kebijakan](#security-iam-awsmanpol-rosainstallerpolicy). | April 24, 2024 |
| ROSASRESupportKebijakan — Kebijakan diperbarui | ROSA memperbarui kebijakan untuk memungkinkan peran SRE mengambil informasi tentang profil instance yang telah ditandai oleh as. ROSA `red-hat-managed` Untuk mempelajari selengkapnya, lihat [AWS kebijakan terkelola: ROSASRESupport Kebijakan](#security-iam-awsmanpol-rosasresupportpolicy). | April 10, 2024 |
| ROSAInstallerKebijakan — Kebijakan diperbarui | ROSA memperbarui kebijakan untuk memungkinkan ROSA penginstal memvalidasi kebijakan AWS terkelola yang dilampirkan ke IAM peran ROSA yang digunakan oleh. ROSA Pembaruan ini juga memungkinkan penginstal untuk mengidentifikasi apakah kebijakan yang dikelola pelanggan telah dilampirkan ke ROSA peran. Untuk mempelajari selengkapnya, lihat [AWS kebijakan terkelola: ROSAInstaller Kebijakan](#security-iam-awsmanpol-rosainstallerpolicy). | April 10, 2024 |
| ROSAInstallerKebijakan — Kebijakan diperbarui | ROSA memperbarui kebijakan untuk mengizinkan layanan menyediakan pesan peringatan penginstal saat penginstalan klaster gagal karena penyedia OIDC cluster yang ditentukan pelanggan tidak ada. Pembaruan ini juga memungkinkan layanan untuk mengambil server nama DNS yang ada sehingga operasi penyediaan klaster idempoten. Untuk mempelajari selengkapnya, lihat [AWS kebijakan terkelola: ROSAInstaller Kebijakan](#security-iam-awsmanpol-rosainstallerpolicy). | Januari 26, 2024 |
| ROSASRESupportKebijakan — Kebijakan diperbarui | ROSA memperbarui kebijakan agar layanan dapat melakukan operasi baca pada grup keamanan yang menggunakan DescribeSecurityGroups API. Untuk mempelajari selengkapnya, lihat [AWS kebijakan terkelola: ROSASRESupport Kebijakan](#security-iam-awsmanpol-rosasresupportpolicy). | Januari 22, 2024 |
| ROSAImageRegistryOperatorPolicy — Kebijakan diperbarui | ROSA memperbarui kebijakan agar Operator Registri Gambar dapat mengambil tindakan pada Amazon S3 bucket di Wilayah dengan nama 14 karakter. Untuk mempelajari selengkapnya, lihat [AWS kebijakan terkelola: ROSAImage RegistryOperatorPolicy](#security-iam-awsmanpol-rosaimageregistryoperatorpolicy). | Desember 12, 2023 |
| ROSAKubeControllerPolicy — Kebijakan diperbarui | ROSA memperbarui kebijakan untuk memungkinkan menjelaskan Availability Zone, Amazon EC2 instance, tabel rute, grup keamanan VPCs, dan subnet. kube-controller-manager Untuk mempelajari selengkapnya, lihat [AWS kebijakan terkelola: ROSAKube ControllerPolicy](#security-iam-awsmanpol-rosakubecontrollerpolicy). | 16 Oktober 2023 |
| ROSAManageBerlangganan - Kebijakan diperbarui | ROSA memperbarui kebijakan untuk menambahkan ROSA dengan pesawat ProductId kontrol yang dihosting. Untuk mempelajari selengkapnya, lihat [AWS kebijakan terkelola: ROSAManage Berlangganan](#security-iam-awsmanpol-rosamanagesubscription). | 1 Agustus 2023 |
| ROSAKubeControllerPolicy — Kebijakan diperbarui | ROSA memperbarui kebijakan untuk memungkinkan pembuatan Network Load Balancers sebagai penyeimbang beban layanan Kubernetes. kube-controller-manager Network Load Balancers memberikan kemampuan yang lebih besar untuk menangani beban kerja yang mudah menguap dan mendukung alamat IP statis untuk penyeimbang beban. Untuk mempelajari selengkapnya, lihat [AWS kebijakan terkelola: ROSAKube ControllerPolicy](#security-iam-awsmanpol-rosakubecontrollerpolicy). | 13 Juli 2023 |
| ROSANodePoolManagementPolicy — Kebijakan baru ditambahkan | ROSA menambahkan kebijakan baru untuk memungkinkan NodePool pengontrol mendeskripsikan, menjalankan, dan menghentikan Amazon EC2 instance yang dikelola sebagai node pekerja. Kebijakan ini juga mengaktifkan enkripsi disk volume root node pekerja menggunakan AWS KMS kunci. Untuk mempelajari selengkapnya, lihat [AWS kebijakan terkelola: ROSANode PoolManagementPolicy](#security-iam-awsmanpol-rosanodepoolmanagementpolicy). | 8 Juni 2023 |
| ROSAInstallerKebijakan - Kebijakan baru ditambahkan | ROSA menambahkan kebijakan baru untuk memungkinkan penginstal mengelola AWS sumber daya yang mendukung penginstalan klaster. Untuk mempelajari selengkapnya, lihat [AWS kebijakan terkelola: ROSAInstaller Kebijakan](#security-iam-awsmanpol-rosainstallerpolicy). | 6 Juni 2023 |
| ROSASRESupportKebijakan - Kebijakan baru ditambahkan | ROSA menambahkan kebijakan baru untuk memungkinkan Red Hat SREs secara langsung mengamati, mendiagnosis, dan mendukung AWS sumber daya yang terkait dengan ROSA cluster, termasuk kemampuan untuk mengubah status node ROSA cluster. Untuk mempelajari selengkapnya, lihat [AWS kebijakan terkelola: ROSASRESupport Kebijakan](#security-iam-awsmanpol-rosasresupportpolicy). | 1 Juni 2023 |
| ROSAKMSProviderKebijakan - Kebijakan baru ditambahkan | ROSA menambahkan kebijakan baru untuk mengizinkan Penyedia AWS Enkripsi bawaan mengelola AWS KMS kunci untuk mendukung enkripsi data etcd. Untuk mempelajari selengkapnya, lihat [AWS kebijakan terkelola: ROSAKMSProvider Kebijakan](#security-iam-awsmanpol-rosakmsproviderpolicy). | 27 April 2023 |
| ROSAKubeControllerPolicy — Kebijakan baru ditambahkan | ROSA menambahkan kebijakan baru untuk mengizinkan pengontrol kube mengelola Amazon EC2 Elastic Load Balancing, dan AWS KMS sumber daya untuk cluster pesawat kontrol ROSA yang di-host. Untuk mempelajari selengkapnya, lihat [AWS kebijakan terkelola: ROSAKube ControllerPolicy](#security-iam-awsmanpol-rosakubecontrollerpolicy). | 27 April 2023 |
| ROSAImageRegistryOperatorPolicy — Kebijakan baru ditambahkan | ROSA menambahkan kebijakan baru untuk mengizinkan Operator Registri Gambar menyediakan dan mengelola sumber daya untuk registri gambar ROSA dalam cluster dan layanan dependen, termasuk S3. Untuk mempelajari selengkapnya, lihat [AWS kebijakan terkelola: ROSAImage RegistryOperatorPolicy](#security-iam-awsmanpol-rosaimageregistryoperatorpolicy). | 27 April 2023 |
| ROSAControlPlaneOperatorPolicy — Kebijakan baru ditambahkan | ROSA menambahkan kebijakan baru untuk memungkinkan Operator Pesawat Kontrol mengelola Amazon EC2 dan Route 53 sumber daya ROSA dengan cluster pesawat kontrol yang dihosting. Untuk mempelajari selengkapnya, lihat [AWS kebijakan terkelola: ROSAControl PlaneOperatorPolicy](#security-iam-awsmanpol-rosacontrolplaneoperatorpolicy). | 24 April 2023 |
| ROSACloudNetworkConfigOperatorPolicy — Kebijakan baru ditambahkan | ROSA menambahkan kebijakan baru untuk memungkinkan Operator Pengontrol Konfigurasi Jaringan Cloud menyediakan dan mengelola sumber daya jaringan untuk hamparan jaringan ROSA cluster. Untuk mempelajari selengkapnya, lihat [AWS kebijakan terkelola: ROSACloud NetworkConfigOperatorPolicy](#security-iam-awsmanpol-rosacloudnetworkconfigoperatorpolicy). | 20 April 2023 |
| ROSAIngressOperatorPolicy — Kebijakan baru ditambahkan | ROSA menambahkan kebijakan baru untuk memungkinkan Operator Ingress menyediakan dan mengelola penyeimbang beban dan konfigurasi DNS untuk klaster. ROSA Untuk mempelajari selengkapnya, lihat [AWS kebijakan terkelola: ROSAIngress OperatorPolicy](#security-iam-awsmanpol-rosaingressoperatorpolicy). | 20 April 2023 |
| ROSAAmazonEBSCSIDriverOperatorPolicy — Kebijakan baru ditambahkan | ROSA menambahkan kebijakan baru untuk memungkinkan Operator Driver Amazon EBS CSI menginstal dan memelihara driver Amazon EBS CSI di cluster. ROSA Untuk mempelajari selengkapnya, lihat [AWS kebijakan terkelola: ROSAAmazon EBSCSIDriver OperatorPolicy](#security-iam-awsmanpol-rosaamazonebscsidriveroperatorpolicy). | 20 April 2023 |
| ROSAWorkerInstancePolicy — Kebijakan baru ditambahkan | ROSA menambahkan kebijakan baru untuk memungkinkan layanan mengelola sumber daya klaster. Untuk mempelajari selengkapnya, lihat [AWS kebijakan terkelola: ROSAWorker InstancePolicy](#security-iam-awsmanpol-rosaworkerinstancepolicy). | 20 April 2023 |
| ROSAManageBerlangganan - Kebijakan baru ditambahkan | ROSA menambahkan kebijakan baru untuk memberikan AWS Marketplace izin yang diperlukan untuk mengelola ROSA langganan. Untuk mempelajari selengkapnya, lihat [AWS kebijakan terkelola: ROSAManage Berlangganan](#security-iam-awsmanpol-rosamanagesubscription). | April 11, 2022 |
| Layanan OpenShift Red Hat di AWS mulai melacak perubahan | Layanan OpenShift Red Hat di AWS mulai melacak perubahan untuk kebijakan yang AWS dikelola. | 2 Maret 2022 |
# Memecahkan masalah ROSA identitas dan akses
Gunakan informasi berikut untuk membantu Anda mendiagnosis dan memperbaiki masalah umum yang mungkin Anda temui saat bekerja dengan ROSA dan IAM.
## AWS Organizations kebijakan kontrol layanan menolak izin yang diperlukan AWS Marketplace
Jika kebijakan kontrol AWS Organizations layanan (SCP) Anda tidak mengizinkan izin AWS Marketplace berlangganan yang diperlukan saat Anda mencoba mengaktifkan ROSA, kesalahan konsol berikut akan terjadi.
```
An error occurred while enabling ROSA, because a service control policy (SCP) is denying required permissions. Contact your management account administrator, and consult the documentation for troubleshooting.
```
Jika Anda menerima kesalahan ini, maka Anda harus menghubungi administrator Anda untuk mendapatkan bantuan. Administrator Anda adalah orang yang mengelola akun untuk organisasi Anda. Minta orang tersebut untuk melakukan hal berikut:
1. Konfigurasikan SCP untuk mengizinkan`aws-marketplace:Subscribe`,`aws-marketplace:Unsubscribe`, dan `aws-marketplace:ViewSubscriptions` izin. Untuk informasi selengkapnya, lihat [Memperbarui SCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_create.html#update_policy) di *Panduan AWS Organizations Pengguna*.
1. Aktifkan ROSA di akun manajemen organisasi.
1. Bagikan ROSA langganan ke akun anggota yang memerlukan akses dalam organisasi. Untuk informasi selengkapnya, lihat [Berbagi langganan di organisasi](https://docs.aws.amazon.com/marketplace/latest/buyerguide/organizations-sharing.html) di *Panduan AWS Marketplace Pembeli*.
## Pengguna atau peran tidak memiliki AWS Marketplace izin yang diperlukan
Jika IAM kepala sekolah Anda tidak memiliki izin AWS Marketplace berlangganan yang diperlukan saat Anda mencoba mengaktifkan ROSA, kesalahan konsol berikut akan terjadi.
```
An error occurred while enabling ROSA, because your user or role does not have the required permissions.
```
Untuk mengatasi masalah ini, ikuti langkah-langkah berikut:
1. Buka [IAM konsol](https://console.aws.amazon.com/iam) dan lampirkan kebijakan AWS terkelola `ROSAManageSubscription` ke identitas IAM Anda. Untuk informasi selengkapnya, lihat [ROSAManageBerlangganan](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAManageSubscription.html) di *Panduan Referensi Kebijakan AWS Terkelola*.
1. Ikuti prosedur di [Aktifkan ROSA dan konfigurasikan AWS prasyarat](set-up.md#enable-rosa).
Jika Anda tidak memiliki izin untuk melihat atau memperbarui izin yang ditetapkan IAM atau Anda menerima kesalahan, Anda harus menghubungi administrator untuk mendapatkan bantuan. Minta orang itu `ROSAManageSubscription` untuk melampirkan IAM identitas Anda dan ikuti prosedurnya[Aktifkan ROSA dan konfigurasikan AWS prasyarat](set-up.md#enable-rosa). Ketika administrator melakukan tindakan ini, ini memungkinkan ROSA dengan memperbarui izin yang ditetapkan untuk semua IAM identitas di bawah Akun AWS.
## AWS Marketplace Izin yang diperlukan diblokir oleh administrator
Jika administrator akun Anda memblokir izin AWS Marketplace berlangganan yang diperlukan, kesalahan konsol berikut akan terjadi saat Anda mencoba mengaktifkan ROSA.
```
An error occurred while enabling ROSA because required permissions have been blocked by an administrator. ROSAManageSubscription includes the permissions required to enable ROSA. Consult the documentation and try again.
```
Jika Anda menerima kesalahan ini, maka Anda harus menghubungi administrator Anda untuk mendapatkan bantuan. Minta orang tersebut untuk melakukan hal berikut:
1. Buka [ROSA konsol](https://console.aws.amazon.com/rosa) dan lampirkan kebijakan AWS terkelola `ROSAManageSubscription` ke identitas IAM Anda. Untuk informasi selengkapnya, lihat [ROSAManageBerlangganan](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAManageSubscription.html) di *Panduan Referensi Kebijakan AWS Terkelola*.
1. Ikuti prosedur [Aktifkan ROSA dan konfigurasikan AWS prasyarat](set-up.md#enable-rosa) untuk mengaktifkan ROSA. Prosedur ini memungkinkan ROSA dengan memperbarui set izin untuk semua IAM identitas di bawah. Akun AWS
## Kesalahan saat membuat penyeimbang beban: AccessDenied
Jika Anda belum membuat penyeimbang beban, peran `AWSServiceRoleForElasticLoadBalacing` terkait layanan mungkin tidak ada di akun Anda. Kesalahan berikut terjadi jika Anda mencoba membuat ROSA klaster tanpa `AWSServiceRoleForElasticLoadBalacing` peran di akun Anda.
```
Error creating network Load Balancer: AccessDenied
```
Untuk mengatasi masalah ini, ikuti langkah-langkah berikut:
1. Periksa apakah akun Anda memiliki `AWSServiceRoleForElasticLoadBalancing` peran.
```
aws iam get-role --role-name "AWSServiceRoleForElasticLoadBalancing"
```
1. Jika Anda tidak memiliki peran ini, ikuti petunjuk untuk membuat peran yang ditemukan di [Buat peran terkait layanan](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/elb-service-linked-roles.html) di * Elastic Load Balancing Panduan Pengguna*.
# Ketahanan di ROSA
## AWS ketahanan infrastruktur global
Infrastruktur AWS global dibangun di sekitar Wilayah AWS dan Availability Zones. Wilayah AWS menyediakan beberapa Availability Zone yang terpisah secara fisik dan terisolasi, yang terhubung melalui latensi rendah, throughput tinggi, dan jaringan yang sangat redundan. Dengan Zona Ketersediaan, Anda dapat merancang serta mengoperasikan aplikasi dan basis data yang secara otomatis melakukan fail over di antara zona tanpa gangguan. Zona Ketersediaan memiliki ketersediaan dan toleransi kesalahan yang lebih baik, dan dapat diskalakan dibandingkan infrastruktur pusat data tunggal atau multi tradisional.
ROSA memberi pelanggan opsi untuk menjalankan bidang kontrol Kubernetes dan bidang data dalam satu AWS Availability Zone, atau di beberapa Availability Zone. Meskipun kluster AZ tunggal dapat berguna untuk eksperimen, pelanggan didorong untuk menjalankan beban kerja mereka di lebih dari satu Availability Zone. Ini memastikan bahwa aplikasi dapat menahan bahkan kegagalan Availability Zone lengkap - peristiwa yang sangat langka dalam dirinya sendiri.
Untuk informasi selengkapnya tentang Wilayah AWS dan Availability Zone, lihat [Infrastruktur AWS Global](https://aws.amazon.com/about-aws/global-infrastructure/).
## ROSA ketahanan cluster
Bidang ROSA kontrol terdiri dari setidaknya tiga node bidang OpenShift kontrol. Setiap node bidang kontrol terdiri dari instance server API, `etcd` instance, dan pengontrol. Jika terjadi kegagalan node bidang kontrol, semua permintaan API secara otomatis dirutekan ke node lain yang tersedia untuk memastikan ketersediaan klaster.
Bidang ROSA data terdiri dari setidaknya dua node OpenShift infrastruktur dan dua node OpenShift pekerja. Node infrastruktur menjalankan pod yang mendukung komponen infrastruktur OpenShift klaster seperti router default, OpenShift registri bawaan, dan komponen untuk metrik dan pemantauan klaster. OpenShift node pekerja menjalankan pod aplikasi pengguna akhir.
Insinyur keandalan situs Red Hat (SREs) sepenuhnya mengelola bidang kontrol dan node infrastruktur. Red Hat SREs secara proaktif memantau ROSA cluster, dan bertanggung jawab untuk mengganti node bidang kontrol dan node infrastruktur yang gagal. Untuk informasi selengkapnya, lihat [Ikhtisar tanggung jawab untuk ROSA](rosa-responsibilities.md).
**penting**
Karena ROSA merupakan layanan terkelola, Red Hat bertanggung jawab untuk mengelola AWS infrastruktur dasar yang ROSA digunakan. Pelanggan tidak boleh mencoba mematikan Amazon EC2 instance yang ROSA digunakan secara manual dari AWS konsol atau AWS CLI. Tindakan ini dapat menyebabkan hilangnya data pelanggan.
Jika node pekerja gagal pada bidang data, bidang kontrol memindahkan pod yang tidak terjadwal ke node pekerja yang berfungsi hingga node yang gagal dipulihkan atau diganti. Node pekerja yang gagal dapat diganti secara manual atau otomatis dengan mengaktifkan penskalaan otomatis mesin dalam sebuah cluster. Untuk informasi selengkapnya, lihat [Penskalaan otomatis klaster di dokumentasi](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/cluster_administration/rosa-cluster-autoscaling) Red Hat.
## Ketahanan aplikasi yang digunakan pelanggan
Meskipun ROSA menyediakan banyak perlindungan untuk memastikan ketersediaan layanan yang tinggi, pelanggan bertanggung jawab untuk membangun aplikasi yang digunakan untuk ketersediaan tinggi guna melindungi beban kerja dari waktu henti. Untuk informasi selengkapnya, lihat [Tentang ketersediaan ROSA](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/introduction_to_rosa/policies-and-service-definition#about-availability-for-rosa) di dokumentasi Red Hat.
# Keamanan infrastruktur di ROSA
Sebagai layanan terkelola, Layanan OpenShift Red Hat di AWS dilindungi oleh keamanan jaringan AWS global. Untuk informasi tentang layanan AWS keamanan dan cara AWS melindungi infrastruktur, lihat [Keamanan AWS Cloud](https://aws.amazon.com/security). Untuk merancang AWS lingkungan Anda menggunakan praktik terbaik untuk keamanan infrastruktur, lihat [Perlindungan Infrastruktur](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) di *Pilar Keamanan — Kerangka Kerja yang Dirancang AWS dengan Baik*.
Anda menggunakan panggilan API yang AWS dipublikasikan untuk mengakses ROSA melalui AWS jaringan. Klien harus mendukung hal-hal berikut:
+ Keamanan Lapisan Pengangkutan (TLS). Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Sandi cocok dengan sistem kerahasiaan maju sempurna (perfect forward secrecy, PFS) seperti DHE (Ephemeral Diffie-Hellman) atau ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Sebagian besar sistem modern seperti Java 7 dan versi lebih baru mendukung mode-mode ini.
Selain itu, permintaan harus ditandatangani menggunakan ID kunci akses dan kunci akses rahasia yang terkait dengan principal IAM. Atau Anda dapat menggunakan [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/) (AWS STS) untuk menghasilkan kredensial keamanan sementara untuk menandatangani permintaan.
## Isolasi jaringan cluster
Insinyur keandalan situs Red Hat bertanggung jawab atas manajemen berkelanjutan dan keamanan jaringan cluster dan platform aplikasi yang mendasarinya. SREs Untuk informasi lebih lanjut tentang tanggung jawab Red Hat ROSA, lihat[Ikhtisar tanggung jawab untuk ROSA](rosa-responsibilities.md).
Saat Anda membuat klaster baru, ROSA berikan opsi untuk membuat titik akhir server API Kubernetes publik dan rute aplikasi atau titik akhir API Kubernetes pribadi dan rute aplikasi. Koneksi ini digunakan untuk berkomunikasi dengan cluster Anda (menggunakan alat OpenShift manajemen seperti ROSA CLI dan OpenShift CLI). Koneksi pribadi memungkinkan semua komunikasi antara node Anda dan server API tetap berada dalam VPC Anda. Jika Anda mengaktifkan akses pribadi ke server API dan rute aplikasi, Anda harus menggunakan VPC yang ada dan menghubungkan VPC AWS PrivateLink ke layanan backend. OpenShift
Akses server API Kubernetes diamankan menggunakan kombinasi AWS Identity and Access Management (IAM) dan kontrol akses berbasis peran Kubernetes (RBAC) asli. Untuk informasi selengkapnya tentang Kubernetes RBAC, lihat [Menggunakan](https://kubernetes.io/docs/reference/access-authn-authz/rbac/) Otorisasi RBAC dalam dokumentasi Kubernetes.
ROSA memungkinkan Anda membuat rute aplikasi aman menggunakan beberapa jenis penghentian TLS untuk melayani sertifikat kepada klien. Untuk informasi selengkapnya, lihat [Rute aman](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/networking/configuring-routes#configuring-default-certificate) di dokumentasi Red Hat.
Jika Anda membuat ROSA klaster di VPC yang ada, Anda menentukan subnet VPC dan Availability Zones untuk digunakan cluster Anda. Anda juga menentukan rentang CIDR untuk jaringan cluster yang akan digunakan, dan mencocokkan rentang CIDR ini dengan subnet VPC. Untuk informasi lebih lanjut, lihat [definisi rentang CIDR](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/networking/cidr-range-definitions) dalam dokumentasi Red Hat.
Untuk kluster yang menggunakan titik akhir API publik, ROSA VPC Anda harus dikonfigurasi dengan subnet publik dan pribadi untuk setiap Availability Zone yang Anda inginkan agar klaster digunakan. Untuk cluster yang menggunakan titik akhir API pribadi, hanya subnet pribadi yang diperlukan.
Jika Anda menggunakan VPC yang ada, Anda dapat mengonfigurasi ROSA cluster Anda untuk menggunakan server proxy HTTP atau HTTPS selama atau setelah pembuatan cluster untuk mengenkripsi lalu lintas web cluster, menambahkan lapisan keamanan lain untuk data Anda. Saat Anda mengaktifkan proxy, komponen cluster inti ditolak akses langsung ke internet. Proxy tidak menolak akses internet untuk beban kerja pengguna. Untuk informasi selengkapnya, lihat [Mengonfigurasi proxy di seluruh klaster](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/networking/configuring-a-cluster-wide-proxy) dalam dokumentasi Red Hat.
## Isolasi jaringan pod
Jika Anda adalah administrator klaster, Anda dapat menentukan kebijakan jaringan di tingkat pod yang membatasi lalu lintas ke pod di ROSA klaster Anda.