Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Sicurezza in ROSA
La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di un data center e di un'architettura di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.
La sicurezza è una responsabilità condivisa tra AWS te e te. Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo come sicurezza del cloud e sicurezza nel cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi in Cloud AWS. AWS fornisce inoltre servizi che è possibile utilizzare in modo sicuro. I revisori di terze parti testano e verificano regolarmente l'efficacia della sicurezza come parte dei [programmi di conformitàAWS](https://aws.amazon.com/compliance/programs/). Per maggiori informazioni sui programmi di conformità applicabili ROSA, consulta Servizi AWS la sezione [Scope by Compliance Program](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sicurezza nel cloud**: la tua responsabilità è determinata dall'uso Servizio AWS che utilizzi. L’utente è anche responsabile di altri fattori, tra cui la riservatezza dei dati, i requisiti della propria azienda e le leggi e normative vigenti.
Questa documentazione aiuta a capire come applicare il modello di responsabilità condivisa durante l'utilizzo ROSA. Ti mostra come configurare per ROSA soddisfare i tuoi obiettivi di sicurezza e conformità. Imparerai anche a utilizzarne altri Servizi AWS che ti aiutano a monitorare e proteggere ROSA le tue risorse.
**Topics**
+ [Protezione dei dati](data-protection.md)
+ [Gestione dell’identità e degli accessi](security-iam.md)
+ [Resilienza](disaster-recovery-resiliency.md)
+ [Sicurezza dell’infrastruttura](infrastructure-security.md)
# Protezione dei dati in ROSA
La [Panoramica delle responsabilità per ROSA](rosa-responsibilities.md) documentazione e il [modello di responsabilitàAWS condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) definiscono la protezione dei dati in ROSA. AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. Red Hat è responsabile della protezione dell'infrastruttura del cluster e della piattaforma di servizio sottostante. Il cliente è responsabile del mantenimento del controllo sui contenuti ospitati su questa infrastruttura. Questo contenuto include le attività di configurazione e gestione della sicurezza per Servizi AWS ciò che utilizzi. Per ulteriori informazioni sulla privacy dei dati, consulta [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq). Per ulteriori informazioni sulla protezione dei dati, consulta il post del blog [Modello di responsabilità condivisa di AWS e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr) sul *Blog della sicurezza di AWS .*
Ai fini della protezione dei dati, ti consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l’autenticazione a più fattori (MFA) con ogni account.
+ SSL/TLS Utilizzatelo per comunicare con AWS le risorse. È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza servizi di sicurezza gestiti avanzati come Amazon Macie, che aiutano a scoprire e proteggere i dati sensibili archiviati in. Amazon S3
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-2 per l'accesso AWS tramite un'interfaccia a riga di comando o un'API, utilizza un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-2](https://aws.amazon.com/compliance/fips/).
Consigliamo di non inserire mai informazioni identificative sensibili, ad esempio i numeri di account dei clienti, in campi a formato libero come un campo **Nome**. Ciò include quando lavori ROSA o Servizi AWS utilizzi la console, l'API o. AWS CLI AWS SDKs Tutti i dati che inserisci ROSA o altri servizi potrebbero essere raccolti per essere inclusi nei registri di diagnostica. Quando fornisci un URL a un server esterno, non includere informazioni sulle credenziali nell'URL per convalidare la tua richiesta a tale server.
**Topics**
+ [Crittografia dei dati](data-protection-encryption.md)
# Protezione dei dati tramite crittografia
La protezione dei dati si riferisce alla protezione dei dati in transito (mentre viaggiano da e verso ROSA) e a riposo (mentre sono archiviati su dischi nei data AWS center).
Servizio Red Hat OpenShift su AWS fornisce un accesso sicuro a Amazon Elastic Block Store (Amazon EBS) volumi di storage collegati alle Amazon EC2 istanze per il piano di ROSA controllo, l'infrastruttura e i nodi di lavoro, nonché ai volumi persistenti Kubernetes per lo storage persistente. ROSA crittografa i dati di volume a riposo e in transito e utilizza AWS Key Management Service (AWS KMS) per proteggere i dati crittografati. Il servizio utilizza l'archiviazione del registro delle immagini dei container, che Amazon S3 per impostazione predefinita è crittografata a riposo.
**Importante**
ROSA Because è un servizio gestito AWS e Red Hat gestisce l'infrastruttura che ROSA utilizza. I clienti non devono tentare di chiudere manualmente le Amazon EC2 istanze ROSA utilizzate dalla AWS console o dalla CLI. Questa azione può portare alla perdita dei dati dei clienti.
## Crittografia dei dati per Amazon EBS volumi di archiviazione supportati
Servizio Red Hat OpenShift su AWS utilizza il framework Kubernetes persistent volume (PV) per consentire agli amministratori del cluster di fornire un cluster con storage persistente. I volumi persistenti, così come il piano di controllo, l'infrastruttura e i nodi di lavoro, sono supportati da Amazon Elastic Block Store (Amazon EBS) volumi di storage collegati alle istanze. Amazon EC2
Per i volumi e i nodi ROSA persistenti supportati da Amazon EBS, le operazioni di crittografia avvengono sui server che ospitano le istanze EC2, garantendo la sicurezza sia dei dati inattivi che dei dati in transito tra un'istanza e lo storage collegato. Per ulteriori informazioni, consulta la [Amazon EBS crittografia nella Guida](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html) per l'* Amazon EC2 utente*.
### Crittografia dei dati per il driver Amazon EBS CSI e il driver Amazon EFS CSI
ROSA per impostazione predefinita utilizza il Amazon EBS driver CSI per il provisioning dello storage. Amazon EBS Il driver Amazon EBS CSI e Amazon EBS CSI Driver Operator sono installati nel cluster per impostazione predefinita nel namespace. `openshift-cluster-csi-drivers` Il driver e l'operatore Amazon EBS CSI consentono di effettuare il provisioning dinamico di volumi persistenti e di creare istantanee di volume.
ROSA è anche in grado di effettuare il provisioning di volumi persistenti utilizzando il driver CSI e Amazon EFS CSI Driver Operator. Amazon EFS Il Amazon EFS driver e l'operatore consentono inoltre di condividere i dati del file system tra i pod o con altre applicazioni all'interno o all'esterno di Kubernetes.
I dati di volume sono protetti in transito sia per il driver CSI che per il driver Amazon EBS CSI. Amazon EFS Per maggiori informazioni, consulta [Using Container Storage Interface (CSI)](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/storage/using-container-storage-interface-csi) nella documentazione di Red Hat.
**Importante**
Durante il provisioning dinamico di volumi ROSA persistenti utilizzando il driver Amazon EFS CSI, nella valutazione delle autorizzazioni del file system, Amazon EFS considera l'ID utente, l'ID di gruppo (GID) e il gruppo secondario IDs del punto di accesso. Amazon EFS sostituisce l'utente e il gruppo IDs sui file con l'utente e il gruppo sul punto di accesso e ignora il client IDs NFS. IDs Di conseguenza, ignora Amazon EFS silenziosamente le impostazioni. `fsGroup` ROSA non è in grado di sostituire i GIDs file utilizzando. `fsGroup` Qualsiasi pod in grado di accedere a un punto di Amazon EFS accesso montato può accedere a qualsiasi file sul volume. Per ulteriori informazioni, vedete [Lavorare con i punti di Amazon EFS accesso](https://docs.aws.amazon.com/efs/latest/ug/efs-access-points.html) nella *Guida Amazon EFS per l'utente*.
### crittografia etcd
ROSA offre la possibilità di abilitare la crittografia dei valori `etcd` chiave all'interno del `etcd` volume durante la creazione del cluster, aggiungendo un ulteriore livello di crittografia. Una volta `etcd` crittografato, si verificherà un sovraccarico di prestazioni aggiuntivo di circa il 20%. Ti consigliamo di abilitare la `etcd` crittografia solo se la richiedi specificamente per il tuo caso d'uso. Per ulteriori informazioni, vedere la [crittografia etcd](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/introduction_to_rosa/policies-and-service-definition#rosa-sdpolicy-etcd-encryption_rosa-service-definition) nella definizione del ROSA servizio.
### Gestione delle chiavi
ROSA utilizza KMS keys per gestire in modo sicuro i volumi di dati del piano di controllo, dell'infrastruttura e dei lavoratori e i volumi persistenti per le applicazioni dei clienti. Durante la creazione del cluster, è possibile scegliere di utilizzare la chiave AWS gestita predefinita KMS key fornita da Amazon EBS o specificare la propria chiave gestita dal cliente. Per ulteriori informazioni, consulta [Crittografia dei dati tramite KMS](data-protection-key-management.md).
## Crittografia dei dati per il registro delle immagini integrato
ROSA fornisce un registro di immagini del contenitore integrato per archiviare, recuperare e condividere le immagini dei contenitori tramite Amazon S3 bucket storage. Il registro è configurato e gestito dall' OpenShift Image Registry Operator. Fornisce agli utenti una out-of-the-box soluzione per gestire le immagini che eseguono i loro carichi di lavoro e funziona sulla base dell'infrastruttura cluster esistente. Per ulteriori informazioni, consultate [Registry](https://docs.redhat.com/en/documentation/red_hat_openshift_service_on_aws/4/html/registry/index) nella documentazione di Red Hat.
ROSA offre registri di immagini pubblici e privati. Per le applicazioni aziendali, consigliamo di utilizzare un registro privato per proteggere le immagini dall'utilizzo da parte di utenti non autorizzati. Per proteggere i dati del registro quando sono inattivi, per impostazione predefinita ROSA utilizza la crittografia lato server con chiavi Amazon S3 gestite (SSE-S3). Questa operazione non richiede alcuna azione da parte dell'utente ed è offerta senza costi aggiuntivi. *Per ulteriori informazioni, vedere [Protezione dei dati mediante la crittografia lato server con chiavi di crittografia Amazon S3 gestite (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html) nella Guida per l'utente. Amazon S3 *
ROSA utilizza il protocollo Transport Layer Security (TLS) per proteggere i dati in transito da e verso il registro delle immagini. Per ulteriori informazioni, consultate [Registry](https://docs.redhat.com/en/documentation/red_hat_openshift_service_on_aws/4/html/registry/index) nella documentazione di Red Hat.
## Riservatezza del traffico Internet
Servizio Red Hat OpenShift su AWS usa Amazon Virtual Private Cloud (Amazon VPC) per creare confini tra le risorse del ROSA cluster e controllare il traffico tra queste, la rete locale e Internet. Per ulteriori informazioni sulla Amazon VPC sicurezza, consulta la sezione [Privacy del traffico Internet Amazon VPC nella Guida](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html) per l'* Amazon VPC utente*.
All'interno del VPC, puoi configurare ROSA i cluster per utilizzare un server proxy HTTP o HTTPS per negare l'accesso diretto a Internet. Se sei un amministratore del cluster, puoi anche definire politiche di rete a livello di pod che limitino il traffico di rete ai pod del cluster. ROSA Per ulteriori informazioni, consulta [Sicurezza dell'infrastruttura in ROSA](infrastructure-security.md).
# Crittografia dei dati tramite KMS
ROSA utilizza AWS KMS per gestire in modo sicuro le chiavi per i dati crittografati. I volumi del piano di controllo, dell'infrastruttura e dei nodi di lavoro sono crittografati per impostazione predefinita utilizzando la funzionalità AWS gestita KMS key fornita da Amazon EBS. Questo KMS key ha l'alias`aws/ebs`. Anche i volumi persistenti che utilizzano la classe di archiviazione gp3 predefinita vengono crittografati di default utilizzando questo. KMS key
ROSA I cluster appena creati sono configurati per utilizzare la classe di archiviazione gp3 predefinita per crittografare i volumi persistenti. I volumi persistenti creati utilizzando qualsiasi altra classe di archiviazione vengono crittografati solo se la classe di archiviazione è configurata per essere crittografata. Per maggiori informazioni sulle classi di storage ROSA predefinite, consultate [Configurazione dello storage persistente nella documentazione di](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/storage/configuring-persistent-storage#persistent-storage-aws) Red Hat.
Durante la creazione del cluster, è possibile scegliere di crittografare i volumi persistenti presenti nel cluster utilizzando la chiave Amazon EBS fornita di default, oppure specificare una soluzione simmetrica gestita dal cliente. KMS key*Per ulteriori informazioni sulla creazione di chiavi, consulta [Creazione di chiavi KMS di crittografia simmetrica](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) nella Guida per gli sviluppatori. AWS KMS *
È inoltre possibile crittografare i volumi persistenti per singoli contenitori all'interno di un cluster definendo un. KMS key Ciò è utile quando si dispone di linee guida esplicite di conformità e sicurezza durante la distribuzione in. AWS Per maggiori informazioni, [consulta Encrypting container persistent volumes on AWS with KMS key a nella documentazione di](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/storage/configuring-persistent-storage#aws-container-persistent-volumes-encrypt_persistent-storage-aws) Red Hat.
I seguenti punti devono essere considerati quando si crittografano volumi persistenti utilizzando i propri: KMS keys
+ Quando utilizzi la crittografia KMS con la tua KMS key, la chiave deve esistere nello Regione AWS stesso del cluster.
+ La creazione e l'utilizzo di una soluzione personalizzata KMS keys comportano un costo. Per ulteriori informazioni, consultare [Prezzi di AWS Key Management Service](https://aws.amazon.com/kms/pricing/).
# Gestione delle identità e degli accessi per ROSA
AWS Identity and Access Management (IAM) è un dispositivo Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle AWS risorse. IAM gli amministratori controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato (disporre delle autorizzazioni*) a utilizzare le risorse. ROSA IAM è un dispositivo Servizio AWS che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [Destinatari](#security-iam-audience)
+ [Autenticazione con identità](#security-iam-authentication)
+ [Gestione dell’accesso tramite policy](#security-iam-access-manage)
+ [ROSA esempi di policy basate sull'identità](security-iam-id-based-policy-examples.md)
+ [AWS politiche gestite per ROSA](security-iam-awsmanpol.md)
+ [Risoluzione dei problemi di ROSA identità e accesso](security-iam-troubleshoot.md)
## Destinatari
Il modo in cui usi AWS Identity and Access Management (IAM) varia a seconda del lavoro che svolgi. ROSA
**Utente del servizio**: se utilizzi il ROSA servizio per svolgere il tuo lavoro, l'amministratore ti fornisce le credenziali e le autorizzazioni necessarie. Man mano che utilizzi più ROSA funzionalità per svolgere il tuo lavoro, potresti aver bisogno di autorizzazioni aggiuntive. La comprensione della gestione dell’accesso consente di richiedere le autorizzazioni corrette all’amministratore. Se non riesci ad accedere a una funzionalità in ROSA, consulta[Risoluzione dei problemi di ROSA identità e accesso](security-iam-troubleshoot.md).
**Amministratore del servizio**: se sei responsabile delle ROSA risorse della tua azienda, probabilmente hai pieno accesso a ROSA. È tuo compito determinare a quali ROSA funzionalità e risorse devono accedere gli utenti del servizio. È quindi necessario inviare richieste all' IAM amministratore per modificare le autorizzazioni degli utenti del servizio. Consulta le informazioni contenute in questa pagina per comprendere i concetti di base di IAM.
** IAM amministratore**: se sei un IAM amministratore, potresti voler conoscere i dettagli sulle politiche utilizzate per gestire l'accesso a ROSA. Per visualizzare esempi di policy ROSA basate sull'identità che puoi utilizzare in IAM, consulta. [ROSA esempi di policy basate sull'identità](security-iam-id-based-policy-examples.md)
## Autenticazione con identità
L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. È necessario *autenticarsi* (accedere a AWS) come utente Account AWS root Utente IAM, o assumendo un ruolo. IAM
È possibile accedere AWS come identità federata utilizzando le credenziali fornite tramite una fonte di identità. AWS IAM Identity Center (IAM Identity Center) gli utenti, l'autenticazione Single Sign-On della tua azienda e le tue credenziali Google o Facebook sono esempi di identità federate. Quando accedi come identità federata, l'amministratore aveva precedentemente configurato la federazione delle identità utilizzando i ruoli. IAM Quando si accede AWS utilizzando la federazione, si assume indirettamente un ruolo.
A seconda del tipo di utente, puoi accedere al Console di gestione AWS o al portale di AWS accesso. Per ulteriori informazioni sull'accesso a AWS, vedi [Come accedere al tuo Account AWS nella](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) *Guida per l'utente di AWS accesso*.
Se accedi a AWS livello di codice, AWS fornisce un kit di sviluppo software (SDK) e un'interfaccia a riga di comando (CLI) per firmare crittograficamente le tue richieste utilizzando le tue credenziali. Se non utilizzi AWS strumenti, devi firmare tu stesso le richieste. Per ulteriori informazioni sull'utilizzo del metodo consigliato per firmare autonomamente le richieste, consulta [Firmare le richieste AWS API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-signing.html) nella *Guida per l' IAM utente*.
Indipendentemente dal metodo di autenticazione utilizzato, potrebbe essere necessario specificare ulteriori informazioni sulla sicurezza. Ad esempio, ti AWS consiglia di utilizzare l'autenticazione a più fattori (MFA) per aumentare la sicurezza del tuo account. *Per ulteriori informazioni, consulta [l'autenticazione a più fattori](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-mfa.html) nella *Guida per l'utente di AWS IAM Identity Center (successore di AWS Single Sign-On)* e [Using multi-factor authentication (MFA) AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) nella IAM User Guide.*
### Account AWS utente root
Quando si crea un account Account AWS, si inizia con un'identità di accesso singolo che ha accesso completo a tutte Servizi AWS le risorse dell'account. Questa identità si chiama utente Account AWS root ed è accessibile effettuando l'accesso con l'indirizzo e-mail e la password utilizzati per creare l'account. Si consiglia vivamente di non utilizzare l'utente root per le attività quotidiane. Conserva le credenziali dell'utente root e utilizzale per eseguire le operazioni che solo l'utente root può eseguire. Per l'elenco completo delle attività che richiedono l'accesso come utente root, consulta [Attività che richiedono le credenziali dell'utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-tasks.html) nella *Guida per l' IAM utente*.
### Identità federata
Come procedura consigliata, richiedi agli utenti umani, compresi gli utenti che richiedono l'accesso come amministratore, di utilizzare la federazione con un provider di identità per accedere Servizi AWS utilizzando credenziali temporanee.
Un'identità federata è un utente dell'elenco utenti aziendale, di un provider di identità Web AWS Directory Service, della directory Identity Center o di qualsiasi utente che accede utilizzando le Servizi AWS credenziali fornite tramite un'origine di identità. Quando le identità federate accedono Account AWS, assumono ruoli e i ruoli forniscono credenziali temporanee.
Per la gestione centralizzata degli accessi, consigliamo di utilizzare AWS IAM Identity Center. Puoi creare utenti e gruppi in IAM Identity Center oppure puoi connetterti e sincronizzarti con un set di utenti e gruppi nella tua fonte di identità per utilizzarli su tutte le tue applicazioni. Account AWS Per informazioni su IAM Identity Center, consulta [Cos'è IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)? nella Guida per l'* AWS utente di IAM Identity Center (successore di AWS Single Sign-On).*
### Utenti IAM e gruppi
An *[Utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*è un'identità interna all'utente Account AWS che dispone di autorizzazioni specifiche per una singola persona o applicazione. Laddove possibile, consigliamo di fare affidamento su credenziali temporanee anziché creare Utenti IAM utenti con credenziali a lungo termine come password e chiavi di accesso. Tuttavia, se hai casi d'uso specifici che richiedono credenziali a lungo termine Utenti IAM, ti consigliamo di ruotare le chiavi di accesso. Per ulteriori informazioni, consulta la pagina [Rotazione periodica delle chiavi di accesso per casi d’uso che richiedono credenziali a lungo termine](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials) nella *Guida per l’utente IAM*.
Un [IAM gruppo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) è un'identità che specifica un insieme di. Utenti IAM Non è possibile eseguire l'accesso come gruppo. È possibile utilizzare gruppi per specificare le autorizzazioni per più utenti alla volta. I gruppi semplificano la gestione delle autorizzazioni di set di utenti di grandi dimensioni. Ad esempio, è possibile assegnare un nome a un gruppo *IAMAdmins*e concedere a tale gruppo le autorizzazioni per IAM amministrare le risorse.
Gli utenti sono diversi dai ruoli. Un utente è associato in modo univoco a una persona o un’applicazione, mentre un ruolo è destinato a essere assunto da chiunque ne abbia bisogno. Gli utenti dispongono di credenziali permanenti a lungo termine, ma i ruoli forniscono credenziali temporanee. Per ulteriori informazioni, consulta [Quando creare un Utente IAM (anziché un ruolo)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose) nella Guida per l'*utente IAM*.
### IAM ruoli
Un *[IAM ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un'identità interna all'utente Account AWS che dispone di autorizzazioni specifiche. È simile a una persona Utente IAM, ma non è associato a una persona specifica. È possibile assumere temporaneamente un IAM ruolo in Console di gestione AWS [cambiando ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html). Puoi assumere un ruolo chiamando un'operazione AWS CLI o AWS API o utilizzando un URL personalizzato. Per ulteriori informazioni sui metodi di utilizzo dei ruoli, consulta [Using IAM roles](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html) nella *IAM User Guide*.
IAM i ruoli con credenziali temporanee sono utili nelle seguenti situazioni:
+ **Accesso utente federato**: per assegnare autorizzazioni a un'identità federata, è necessario creare un ruolo e definire le autorizzazioni per il ruolo. Quando un'identità federata viene autenticata, l'identità viene associata al ruolo e ottiene le autorizzazioni da esso definite. Per ulteriori informazioni sulla federazione dei ruoli, consulta [Creazione di un ruolo per un provider di identità di terza parte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html) nella *Guida per l'utente IAM*. Se utilizzi IAM Identity Center, configura un set di autorizzazioni. Centro identità IAM mette in correlazione il set di autorizzazioni con un ruolo in IAM per controllare le risorse alle quali le identità possono accedere dopo l'autenticazione. Per informazioni sui set di autorizzazioni, consulta Set di autorizzazioni nella Guida per [l'](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)utente di * AWS IAM Identity Center (successore* del Single Sign-On). AWS
+ ** Utente IAM Autorizzazioni temporanee**: An Utente IAM può assumere il IAM ruolo di assumere temporaneamente autorizzazioni diverse per un'attività specifica.
+ **Accesso su più account**: puoi utilizzare un IAM ruolo per consentire a qualcuno (un responsabile fidato) di un altro account di accedere alle risorse del tuo account. I ruoli sono lo strumento principale per concedere l’accesso multi-account. Tuttavia, con alcuni Servizi AWS, è possibile allegare una policy direttamente a una risorsa (anziché utilizzare un ruolo come proxy). *Per conoscere la differenza tra i ruoli e le politiche basate sulle risorse per l'accesso tra account diversi, consulta [How IAM roles differiscono dalle policy basate sulle risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella IAM User Guide.*
+ **Accesso tra servizi: alcuni utilizzano funzionalità** in altri. Servizi AWS Servizi AWS Ad esempio, quando si effettua una chiamata in un servizio, è normale che quel servizio esegua applicazioni Amazon EC2 o in cui memorizzi oggetti. Amazon S3 Un servizio può eseguire questa operazione utilizzando le autorizzazioni dell'entità chiamante, un ruolo di servizio oppure un ruolo collegato al servizio.
+ **Sessioni di accesso inoltrato** (FAS): quando utilizzi un ruolo Utente IAM or per eseguire azioni in AWS, sei considerato un principale. Quando si utilizzano alcuni servizi, è possibile eseguire un’operazione che attiva un’altra operazione in un servizio diverso. FAS utilizza le autorizzazioni del principale che chiama an Servizio AWS, combinate con la richiesta Servizio AWS per effettuare richieste ai servizi downstream. Le richieste FAS vengono effettuate solo quando un servizio riceve una richiesta che richiede interazioni con altri Servizi AWS o risorse per essere completata. In questo caso è necessario disporre delle autorizzazioni per eseguire entrambe le azioni. Per i dettagli delle policy relative alle richieste FAS, consulta [Forward access sessions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
+ **Ruolo** di servizio: un ruolo di servizio è un IAM ruolo che un servizio assume per eseguire azioni per conto dell'utente. Un IAM amministratore può creare, modificare ed eliminare un ruolo di servizio dall'interno IAM. Per ulteriori informazioni, consulta la sezione [Creazione di un ruolo per delegare le autorizzazioni a un Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l'utente di IAM*.
+ **Ruolo collegato al servizio: un ruolo** collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati al servizio vengono visualizzati nell' IAM account e sono di proprietà del servizio. Un IAM amministratore può visualizzare, ma non modificare le autorizzazioni per i ruoli collegati al servizio.
+ **Applicazioni in esecuzione Amazon EC2 **: è possibile utilizzare un IAM ruolo per gestire le credenziali temporanee per le applicazioni in esecuzione su un' Amazon EC2 istanza e che AWS CLI effettuano richieste API. AWS È preferibile alla memorizzazione delle chiavi di accesso all'interno dell' Amazon EC2 istanza. Per assegnare un AWS ruolo a un' Amazon EC2 istanza e renderlo disponibile per tutte le sue applicazioni, create un profilo di istanza collegato all'istanza. Un profilo di istanza contiene il ruolo e consente ai programmi in esecuzione sull' Amazon EC2 istanza di ottenere credenziali temporanee. Per ulteriori informazioni, consulta [Usare un IAM ruolo per concedere le autorizzazioni alle applicazioni in esecuzione su Amazon EC2 istanze](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html) nella Guida per l'utente *IAM*.
Per sapere se utilizzare IAM ruoli o IAM utenti, consulta [Quando creare un IAM ruolo (anziché un utente) nella Guida per l'utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose_role) *IAM*.
## Gestione dell’accesso tramite policy
Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy è un oggetto AWS che, se associato a un'identità o a una risorsa, ne definisce le autorizzazioni. AWS valuta queste politiche quando un principale (utente, utente root o sessione di ruolo) effettua una richiesta. Le autorizzazioni nelle policy determinano l’approvazione o il rifiuto della richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sulla struttura e sui contenuti dei documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente di IAM*.
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Per concedere agli utenti il permesso di eseguire azioni sulle risorse di cui hanno bisogno, un IAM amministratore può creare IAM policy. L'amministratore può quindi aggiungere le IAM politiche ai ruoli e gli utenti possono assumerli.
IAM le politiche definiscono le autorizzazioni per un'azione indipendentemente dal metodo utilizzato per eseguire l'operazione. Ad esempio, supponiamo di disporre di una policy che consente l’operazione `iam:GetRole`. Un utente con tale policy può ottenere informazioni sul ruolo dall' Console di gestione AWS AWS CLI, dall'o dall' AWS API.
### Policy basate sull’identità
Le politiche basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità, ad esempio un ruolo o un gruppo Utente IAM. Tali policy definiscono le azioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. [https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)
Le policy basate sull’identità possono essere ulteriormente classificate come *policy inline* o *policy gestite*. Le policy inline sono integrate direttamente in un singolo utente, gruppo o ruolo. Le policy gestite sono policy autonome che puoi allegare a più utenti, gruppi e ruoli all'interno del tuo. Account AWS Le politiche gestite includono politiche AWS gestite e politiche gestite dai clienti. Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scelta fra policy gestite e policy inline](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#choosing-managed-or-inline) nella *Guida per l'utente IAM*.
### Policy basate su risorse
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi più comuni di policy basate su risorse sono le *policy di trust dei ruoli* IAM e le *policy dei bucket* Amazon S3 . Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. Quando è collegata a una risorsa, una policy definisce le operazioni che un principale può eseguire su tale risorsa e a quali condizioni. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). I principali possono includere account, utenti, ruoli, utenti federati o. Servizi AWS
Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite contenute IAM in una policy basata sulle risorse.
### Elenchi di controllo degli accessi () ACLs
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
Amazon S3 AWS WAF, e Amazon VPC sono esempi di servizi che supportano. ACLs Per ulteriori informazioni ACLs, consulta la [panoramica dell'Access Control List (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) nella *Guida per l'utente di Amazon Simple Storage Service*.
### Altri tipi di policy
AWS supporta tipi di policy aggiuntivi e meno comuni. Questi tipi di policy possono impostare il numero massimo di autorizzazioni concesse dai più tipi di policy comuni.
+ **Limiti delle autorizzazioni**: un limite di autorizzazioni è una funzionalità avanzata in cui si impostano le autorizzazioni massime che una politica basata sull'identità può concedere a un'entità (o ruolo). IAM Utente IAM È possibile impostare un limite delle autorizzazioni per un’entità. Le autorizzazioni risultanti sono l'intersezione delle policy basate sull'identità dell'entità e i rispettivi limiti delle autorizzazioni. Le policy basate sulle risorse che specificano l'utente o il ruolo nel campo `Principal` non sono interessate dal limite delle autorizzazioni. Un rifiuto esplicito in una qualsiasi di queste policy sostituisce l’autorizzazione. *Per ulteriori informazioni sui limiti delle autorizzazioni, consulta Limiti delle autorizzazioni per le entità nella Guida per l'[utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) IAM. IAM *
+ **Policie di controllo del servizio (SCPs)**: SCPs sono politiche JSON che specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa (OU) in. AWS Organizations AWS Organizations è un servizio per il raggruppamento e la gestione centralizzata di più di proprietà dell' Account AWS azienda. Se abiliti tutte le funzionalità di un'organizzazione, puoi applicare le politiche di controllo del servizio (SCPs) a uno o tutti i tuoi account. L'SCP limita le autorizzazioni per le entità negli account dei membri, incluso ogni utente Account AWS root. Per ulteriori informazioni su Organizations and SCPs, vedere [Service control policies (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l' AWS Organizations utente*.
+ **Policy di sessione**: le policy di sessione sono policy avanzate che si passano come parametro quando si crea in modo programmatico una sessione temporanea per un ruolo o un utente federato. Le autorizzazioni della sessione risultante sono l'intersezione delle policy basate sull'identità del ruolo o dell'utente e le policy di sessione. Le autorizzazioni possono anche provenire da una policy basata su risorse. Un rifiuto esplicito in una qualsiasi di queste policy sostituisce l’autorizzazione. Per ulteriori informazioni, consulta [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.
### Più tipi di policy
Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.
# ROSA esempi di policy basate sull'identità
Per impostazione predefinita, Utenti IAM i ruoli non dispongono dell'autorizzazione per creare o modificare risorse. AWS Inoltre, non possono eseguire attività utilizzando l' AWS API Console di gestione AWS AWS CLI, o. Un IAM amministratore deve creare IAM politiche che concedano a utenti e ruoli l'autorizzazione a eseguire operazioni API specifiche sulle risorse specifiche di cui ha bisogno. L'amministratore deve quindi allegare tali politiche agli Utenti IAM o ai gruppi che richiedono tali autorizzazioni.
*Per scoprire come creare una policy IAM basata sull'identità utilizzando questi esempi di documenti di policy JSON, consulta [Creating policies on the JSON nella](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) IAM User Guide.*
## Utilizzo della console ROSA
Per abbonarsi ROSA dalla console, il responsabile IAM deve disporre delle Marketplace AWS autorizzazioni richieste. Le autorizzazioni consentono al principale di sottoscrivere e annullare l'iscrizione all'elenco dei ROSA prodotti Marketplace AWS e di visualizzare gli abbonamenti. Marketplace AWS Per aggiungere le autorizzazioni richieste, vai alla [ROSA console](https://console.aws.amazon.com/rosa) e collega la policy AWS `ROSAManageSubscription` gestita al tuo principale IAM. Per ulteriori informazioni su `ROSAManageSubscription`, consultare [AWS politica gestita: ROSAManage abbonamento](security-iam-awsmanpol.md#security-iam-awsmanpol-rosamanagesubscription).
## Autorizzazione di ROSA con HCP alla gestione delle risorse AWS
ROSA con piani di controllo ospitati (HCP) utilizza politiche AWS gestite con le autorizzazioni necessarie per il funzionamento e il supporto del servizio. Utilizzi la ROSA CLI o la IAM console per collegare queste politiche ai ruoli di servizio nel tuo. Account AWS
Per ulteriori informazioni, consulta [AWS politiche gestite per ROSA](security-iam-awsmanpol.md).
## Autorizzazione di ROSA classic alla gestione delle risorse AWS
ROSA classic utilizza politiche IAM gestite dal cliente con autorizzazioni predefinite dal servizio. Utilizzi la ROSA CLI per creare queste politiche e collegarle ai ruoli di servizio nel tuo. Account AWS ROSA richiede che queste politiche siano configurate come definito dal servizio per garantire il funzionamento e il supporto continui del servizio.
**Nota**
Non dovreste modificare le policy di ROSA classic senza prima consultare Red Hat. Ciò potrebbe invalidare l'accordo sul livello di servizio di uptime del cluster del 99,95% di Red Hat. ROSA con piani di controllo ospitati utilizza policy AWS gestite con un set di autorizzazioni più limitato. Per ulteriori informazioni, consulta [AWS politiche gestite per ROSA](security-iam-awsmanpol.md).
Esistono due tipi di politiche gestite dai clienti per ROSA: politiche dell'account e politiche dell'operatore. Le policy relative agli account sono associate ai IAM ruoli utilizzati dal servizio per stabilire una relazione di fiducia con Red Hat per il supporto dei Site Reliability Engineer (SRE), la creazione di cluster e le funzionalità di calcolo. Le policy degli operatori sono associate ai IAM ruoli che OpenShift gli operatori utilizzano per le operazioni del cluster relative all'ingresso, allo storage, al registro delle immagini e alla gestione dei nodi. Le politiche degli account vengono create una volta per Account AWS cluster, mentre le politiche degli operatori vengono create una volta per cluster.
Per ulteriori informazioni, consultare [Politiche relative agli account ROSA classic](security-iam-rosa-classic-account-policies.md) e [POLITICHE OPERATIVE CLASSICHE DI ROSA](security-iam-rosa-classic-operator-policies.md).
## Consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra come è possibile creare una politica che Utenti IAM consenta di visualizzare le politiche in linea e gestite allegate alla loro identità utente. Questo criterio include le autorizzazioni per completare questa azione sulla console o utilizzando programmaticamente il. AWS CLI
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Effect": "Allow",
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
# Politiche relative agli account ROSA classic
Questa sezione fornisce dettagli sulle politiche degli account necessarie per ROSA classic. Queste autorizzazioni sono necessarie a ROSA classic per gestire AWS le risorse su cui vengono eseguiti i cluster e abilitare il supporto di Red Hat Site Reliability Engineer per i cluster. È possibile assegnare un prefisso personalizzato ai nomi delle policy, ma altrimenti queste politiche dovrebbero essere denominate come definito in questa pagina (ad esempio,). `ManagedOpenShift-Installer-Role-Policy`
Le politiche dell'account sono specifiche di una versione OpenShift secondaria e sono compatibili con le versioni precedenti. Prima di creare o aggiornare un cluster, è necessario verificare che la versione della policy e la versione del cluster coincidano eseguendo. `rosa list account-roles` Se la versione della policy è precedente alla versione del cluster, esegui `rosa upgrade account-roles` per aggiornare i ruoli e le policy associate. È possibile utilizzare le stesse politiche e gli stessi ruoli dell'account per più cluster della stessa versione secondaria.
## [Prefisso] -Installer-Role-Policy
È possibile collegare `[Prefix]-Installer-Role-Policy` alle entità IAM. Prima di poter creare un cluster ROSA classic, è necessario collegare questa policy a un ruolo IAM denominato. `[Prefix]-Installer-Role` Questa politica concede le autorizzazioni necessarie che consentono all' ROSA installatore di gestire AWS le risorse necessarie per la creazione del cluster.
### Policy delle autorizzazioni
Le autorizzazioni definite in questo documento di policy specificano quali azioni sono consentite o negate.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"autoscaling:DescribeAutoScalingGroups",
"ec2:AllocateAddress",
"ec2:AssociateAddress",
"ec2:AssociateDhcpOptions",
"ec2:AssociateRouteTable",
"ec2:AttachInternetGateway",
"ec2:AttachNetworkInterface",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CopyImage",
"ec2:CreateDhcpOptions",
"ec2:CreateInternetGateway",
"ec2:CreateNatGateway",
"ec2:CreateNetworkInterface",
"ec2:CreateRoute",
"ec2:CreateRouteTable",
"ec2:CreateSecurityGroup",
"ec2:CreateSubnet",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:CreateVpc",
"ec2:CreateVpcEndpoint",
"ec2:DeleteDhcpOptions",
"ec2:DeleteInternetGateway",
"ec2:DeleteNatGateway",
"ec2:DeleteNetworkInterface",
"ec2:DeleteRoute",
"ec2:DeleteRouteTable",
"ec2:DeleteSecurityGroup",
"ec2:DeleteSnapshot",
"ec2:DeleteSubnet",
"ec2:DeleteTags",
"ec2:DeleteVolume",
"ec2:DeleteVpc",
"ec2:DeleteVpcEndpoints",
"ec2:DeregisterImage",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAddresses",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeDhcpOptions",
"ec2:DescribeImages",
"ec2:DescribeInstanceAttribute",
"ec2:DescribeInstanceCreditSpecifications",
"ec2:DescribeInstances",
"ec2:DescribeInstanceStatus",
"ec2:DescribeInstanceTypeOfferings",
"ec2:DescribeInstanceTypes",
"ec2:DescribeInternetGateways",
"ec2:DescribeKeyPairs",
"ec2:DescribeNatGateways",
"ec2:DescribeNetworkAcls",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribePrefixLists",
"ec2:DescribeRegions",
"ec2:DescribeReservedInstancesOfferings",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSecurityGroupRules",
"ec2:DescribeSubnets",
"ec2:DescribeTags",
"ec2:DescribeVolumes",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcClassicLink",
"ec2:DescribeVpcClassicLinkDnsSupport",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcs",
"ec2:DetachInternetGateway",
"ec2:DisassociateRouteTable",
"ec2:GetConsoleOutput",
"ec2:GetEbsDefaultKmsKeyId",
"ec2:ModifyInstanceAttribute",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:ModifySubnetAttribute",
"ec2:ModifyVpcAttribute",
"ec2:ReleaseAddress",
"ec2:ReplaceRouteTableAssociation",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:RunInstances",
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:TerminateInstances",
"elasticloadbalancing:AddTags",
"elasticloadbalancing:ApplySecurityGroupsToLoadBalancer",
"elasticloadbalancing:AttachLoadBalancerToSubnets",
"elasticloadbalancing:ConfigureHealthCheck",
"elasticloadbalancing:CreateListener",
"elasticloadbalancing:CreateLoadBalancer",
"elasticloadbalancing:CreateLoadBalancerListeners",
"elasticloadbalancing:CreateTargetGroup",
"elasticloadbalancing:DeleteLoadBalancer",
"elasticloadbalancing:DeleteTargetGroup",
"elasticloadbalancing:DeregisterInstancesFromLoadBalancer",
"elasticloadbalancing:DeregisterTargets",
"elasticloadbalancing:DescribeAccountLimits",
"elasticloadbalancing:DescribeInstanceHealth",
"elasticloadbalancing:DescribeListeners",
"elasticloadbalancing:DescribeLoadBalancerAttributes",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeTags",
"elasticloadbalancing:DescribeTargetGroupAttributes",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeTargetHealth",
"elasticloadbalancing:ModifyLoadBalancerAttributes",
"elasticloadbalancing:ModifyTargetGroup",
"elasticloadbalancing:ModifyTargetGroupAttributes",
"elasticloadbalancing:RegisterInstancesWithLoadBalancer",
"elasticloadbalancing:RegisterTargets",
"elasticloadbalancing:SetLoadBalancerPoliciesOfListener",
"iam:AddRoleToInstanceProfile",
"iam:CreateInstanceProfile",
"iam:DeleteInstanceProfile",
"iam:GetInstanceProfile",
"iam:TagInstanceProfile",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:GetUser",
"iam:ListAttachedRolePolicies",
"iam:ListInstanceProfiles",
"iam:ListInstanceProfilesForRole",
"iam:ListRolePolicies",
"iam:ListRoles",
"iam:ListUserPolicies",
"iam:ListUsers",
"iam:RemoveRoleFromInstanceProfile",
"iam:SimulatePrincipalPolicy",
"iam:TagRole",
"iam:UntagRole",
"route53:ChangeResourceRecordSets",
"route53:ChangeTagsForResource",
"route53:CreateHostedZone",
"route53:DeleteHostedZone",
"route53:GetAccountLimit",
"route53:GetChange",
"route53:GetHostedZone",
"route53:ListHostedZones",
"route53:ListHostedZonesByName",
"route53:ListResourceRecordSets",
"route53:ListTagsForResource",
"route53:UpdateHostedZoneComment",
"s3:CreateBucket",
"s3:DeleteBucket",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:GetAccelerateConfiguration",
"s3:GetBucketAcl",
"s3:GetBucketCORS",
"s3:GetBucketLocation",
"s3:GetBucketLogging",
"s3:GetBucketObjectLockConfiguration",
"s3:GetBucketPolicy",
"s3:GetReplicationConfiguration",
"s3:GetBucketRequestPayment",
"s3:GetBucketTagging",
"s3:GetBucketVersioning",
"s3:GetBucketWebsite",
"s3:GetEncryptionConfiguration",
"s3:GetLifecycleConfiguration",
"s3:GetObject",
"s3:GetObjectAcl",
"s3:GetObjectTagging",
"s3:GetObjectVersion",
"s3:GetReplicationConfiguration",
"s3:ListBucket",
"s3:ListBucketVersions",
"s3:PutBucketAcl",
"s3:PutBucketTagging",
"s3:PutBucketVersioning",
"s3:PutEncryptionConfiguration",
"s3:PutObject",
"s3:PutObjectAcl",
"s3:PutObjectTagging",
"servicequotas:GetServiceQuota",
"servicequotas:ListAWSDefaultServiceQuotas",
"sts:AssumeRole",
"sts:AssumeRoleWithWebIdentity",
"sts:GetCallerIdentity",
"tag:GetResources",
"tag:UntagResources",
"ec2:CreateVpcEndpointServiceConfiguration",
"ec2:DeleteVpcEndpointServiceConfigurations",
"ec2:DescribeVpcEndpointServiceConfigurations",
"ec2:DescribeVpcEndpointServicePermissions",
"ec2:DescribeVpcEndpointServices",
"ec2:ModifyVpcEndpointServicePermissions",
"kms:DescribeKey",
"cloudwatch:GetMetricData"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"secretsmanager:GetSecretValue"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/red-hat-managed": "true"
}
}
}
]
}
```
## [Prefisso] - -Role-Policy ControlPlane
È possibile collegare `[Prefix]-ControlPlane-Role-Policy` alle entità IAM. Prima di poter creare un cluster ROSA classic, è necessario collegare questa policy a un ruolo IAM denominato. `[Prefix]-ControlPlane-Role` Questa policy concede a ROSA classic le autorizzazioni necessarie per la gestione Amazon EC2 e la Elastic Load Balancing lettura delle risorse che ospitano il piano di ROSA controllo. KMS keys
### Policy delle autorizzazioni
Le autorizzazioni definite in questo documento di policy specificano quali azioni sono consentite o negate.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ec2:AttachVolume",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:DeleteSecurityGroup",
"ec2:DeleteVolume",
"ec2:Describe*",
"ec2:DetachVolume",
"ec2:ModifyInstanceAttribute",
"ec2:ModifyVolume",
"ec2:RevokeSecurityGroupIngress",
"elasticloadbalancing:AddTags",
"elasticloadbalancing:AttachLoadBalancerToSubnets",
"elasticloadbalancing:ApplySecurityGroupsToLoadBalancer",
"elasticloadbalancing:CreateListener",
"elasticloadbalancing:CreateLoadBalancer",
"elasticloadbalancing:CreateLoadBalancerPolicy",
"elasticloadbalancing:CreateLoadBalancerListeners",
"elasticloadbalancing:CreateTargetGroup",
"elasticloadbalancing:ConfigureHealthCheck",
"elasticloadbalancing:DeleteListener",
"elasticloadbalancing:DeleteLoadBalancer",
"elasticloadbalancing:DeleteLoadBalancerListeners",
"elasticloadbalancing:DeleteTargetGroup",
"elasticloadbalancing:DeregisterInstancesFromLoadBalancer",
"elasticloadbalancing:DeregisterTargets",
"elasticloadbalancing:Describe*",
"elasticloadbalancing:DetachLoadBalancerFromSubnets",
"elasticloadbalancing:ModifyListener",
"elasticloadbalancing:ModifyLoadBalancerAttributes",
"elasticloadbalancing:ModifyTargetGroup",
"elasticloadbalancing:ModifyTargetGroupAttributes",
"elasticloadbalancing:RegisterInstancesWithLoadBalancer",
"elasticloadbalancing:RegisterTargets",
"elasticloadbalancing:SetLoadBalancerPoliciesForBackendServer",
"elasticloadbalancing:SetLoadBalancerPoliciesOfListener",
"kms:DescribeKey"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
## [Prefisso] -Worker-Role-Policy
È possibile collegare `[Prefix]-Worker-Role-Policy` alle entità IAM. Prima di poter creare un cluster ROSA classic, è necessario collegare questa policy a un ruolo IAM denominato. `[Prefix]-Worker-Role` Questa policy concede le autorizzazioni necessarie a ROSA classic per descrivere le istanze EC2 in esecuzione come nodi di lavoro.
### Policy delle autorizzazioni
Le autorizzazioni definite in questo documento di policy specificano quali azioni sono consentite o negate.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeRegions"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
## [Prefisso] -Support-Role-Policy
È possibile collegare `[Prefix]-Support-Role-Policy` alle entità IAM. Prima di poter creare un cluster ROSA classic, è necessario collegare questa policy a un ruolo IAM denominato. `[Prefix]-Support-Role` Questa policy concede le autorizzazioni necessarie all'ingegneria dell'affidabilità del sito Red Hat per osservare, diagnosticare e supportare le AWS risorse utilizzate dai cluster ROSA classic, inclusa la possibilità di modificare lo stato dei nodi del cluster.
### Policy delle autorizzazioni
Le autorizzazioni definite in questo documento di policy specificano quali azioni sono consentite o negate.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"cloudtrail:DescribeTrails",
"cloudtrail:LookupEvents",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"ec2-instance-connect:SendSerialConsoleSSHPublicKey",
"ec2:CopySnapshot",
"ec2:CreateNetworkInsightsPath",
"ec2:CreateSnapshot",
"ec2:CreateSnapshots",
"ec2:CreateTags",
"ec2:DeleteNetworkInsightsAnalysis",
"ec2:DeleteNetworkInsightsPath",
"ec2:DeleteTags",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAddresses",
"ec2:DescribeAddressesAttribute",
"ec2:DescribeAggregateIdFormat",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeByoipCidrs",
"ec2:DescribeCapacityReservations",
"ec2:DescribeCarrierGateways",
"ec2:DescribeClassicLinkInstances",
"ec2:DescribeClientVpnAuthorizationRules",
"ec2:DescribeClientVpnConnections",
"ec2:DescribeClientVpnEndpoints",
"ec2:DescribeClientVpnRoutes",
"ec2:DescribeClientVpnTargetNetworks",
"ec2:DescribeCoipPools",
"ec2:DescribeCustomerGateways",
"ec2:DescribeDhcpOptions",
"ec2:DescribeEgressOnlyInternetGateways",
"ec2:DescribeIamInstanceProfileAssociations",
"ec2:DescribeIdentityIdFormat",
"ec2:DescribeIdFormat",
"ec2:DescribeImageAttribute",
"ec2:DescribeImages",
"ec2:DescribeInstanceAttribute",
"ec2:DescribeInstances",
"ec2:DescribeInstanceStatus",
"ec2:DescribeInstanceTypeOfferings",
"ec2:DescribeInstanceTypes",
"ec2:DescribeInternetGateways",
"ec2:DescribeIpv6Pools",
"ec2:DescribeKeyPairs",
"ec2:DescribeLaunchTemplates",
"ec2:DescribeLocalGatewayRouteTables",
"ec2:DescribeLocalGatewayRouteTableVirtualInterfaceGroupAssociations",
"ec2:DescribeLocalGatewayRouteTableVpcAssociations",
"ec2:DescribeLocalGateways",
"ec2:DescribeLocalGatewayVirtualInterfaceGroups",
"ec2:DescribeLocalGatewayVirtualInterfaces",
"ec2:DescribeManagedPrefixLists",
"ec2:DescribeNatGateways",
"ec2:DescribeNetworkAcls",
"ec2:DescribeNetworkInsightsAnalyses",
"ec2:DescribeNetworkInsightsPaths",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribePlacementGroups",
"ec2:DescribePrefixLists",
"ec2:DescribePrincipalIdFormat",
"ec2:DescribePublicIpv4Pools",
"ec2:DescribeRegions",
"ec2:DescribeReservedInstances",
"ec2:DescribeRouteTables",
"ec2:DescribeScheduledInstances",
"ec2:DescribeSecurityGroupReferences",
"ec2:DescribeSecurityGroupRules",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSnapshotAttribute",
"ec2:DescribeSnapshots",
"ec2:DescribeSpotFleetInstances",
"ec2:DescribeStaleSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeTags",
"ec2:DescribeTransitGatewayAttachments",
"ec2:DescribeTransitGatewayConnectPeers",
"ec2:DescribeTransitGatewayConnects",
"ec2:DescribeTransitGatewayMulticastDomains",
"ec2:DescribeTransitGatewayPeeringAttachments",
"ec2:DescribeTransitGatewayRouteTables",
"ec2:DescribeTransitGateways",
"ec2:DescribeTransitGatewayVpcAttachments",
"ec2:DescribeVolumeAttribute",
"ec2:DescribeVolumes",
"ec2:DescribeVolumesModifications",
"ec2:DescribeVolumeStatus",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcClassicLink",
"ec2:DescribeVpcClassicLinkDnsSupport",
"ec2:DescribeVpcEndpointConnectionNotifications",
"ec2:DescribeVpcEndpointConnections",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcEndpointServiceConfigurations",
"ec2:DescribeVpcEndpointServicePermissions",
"ec2:DescribeVpcEndpointServices",
"ec2:DescribeVpcPeeringConnections",
"ec2:DescribeVpcs",
"ec2:DescribeVpnConnections",
"ec2:DescribeVpnGateways",
"ec2:GetAssociatedIpv6PoolCidrs",
"ec2:GetConsoleOutput",
"ec2:GetManagedPrefixListEntries",
"ec2:GetSerialConsoleAccessStatus",
"ec2:GetTransitGatewayAttachmentPropagations",
"ec2:GetTransitGatewayMulticastDomainAssociations",
"ec2:GetTransitGatewayPrefixListReferences",
"ec2:GetTransitGatewayRouteTableAssociations",
"ec2:GetTransitGatewayRouteTablePropagations",
"ec2:ModifyInstanceAttribute",
"ec2:RebootInstances",
"ec2:RunInstances",
"ec2:SearchLocalGatewayRoutes",
"ec2:SearchTransitGatewayMulticastGroups",
"ec2:SearchTransitGatewayRoutes",
"ec2:StartInstances",
"ec2:StartNetworkInsightsAnalysis",
"ec2:StopInstances",
"ec2:TerminateInstances",
"elasticloadbalancing:ConfigureHealthCheck",
"elasticloadbalancing:DescribeAccountLimits",
"elasticloadbalancing:DescribeInstanceHealth",
"elasticloadbalancing:DescribeListenerCertificates",
"elasticloadbalancing:DescribeListeners",
"elasticloadbalancing:DescribeLoadBalancerAttributes",
"elasticloadbalancing:DescribeLoadBalancerPolicies",
"elasticloadbalancing:DescribeLoadBalancerPolicyTypes",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeRules",
"elasticloadbalancing:DescribeSSLPolicies",
"elasticloadbalancing:DescribeTags",
"elasticloadbalancing:DescribeTargetGroupAttributes",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeTargetHealth",
"iam:GetRole",
"iam:ListRoles",
"kms:CreateGrant",
"route53:GetHostedZone",
"route53:GetHostedZoneCount",
"route53:ListHostedZones",
"route53:ListHostedZonesByName",
"route53:ListResourceRecordSets",
"s3:GetBucketTagging",
"s3:GetObjectAcl",
"s3:GetObjectTagging",
"s3:ListAllMyBuckets",
"sts:DecodeAuthorizationMessage",
"tiros:CreateQuery",
"tiros:GetQueryAnswer",
"tiros:GetQueryExplanation"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"s3:ListBucket"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::managed-velero*",
"arn:aws:s3:::*image-registry*"
]
}
]
}
```
# POLITICHE OPERATIVE CLASSICHE DI ROSA
Questa sezione fornisce dettagli sulle politiche degli operatori necessarie per ROSA classic. Prima di poter creare un cluster ROSA classic, è necessario collegare queste politiche ai ruoli di operatore pertinenti. È richiesto un set unico di ruoli operatore per ogni cluster.
Queste autorizzazioni sono necessarie per consentire agli OpenShift operatori di gestire i nodi del cluster ROSA classic. È possibile assegnare un prefisso personalizzato ai nomi delle politiche per semplificare la gestione delle politiche (ad esempio,). `ManagedOpenShift-openshift-ingress-operator-cloud-credentials`
## [Prefisso] - -credenziali openshift-ingress-operator-cloud
È possibile collegare `[Prefix]-openshift-ingress-operator-cloud-credentials` alle entità IAM. Questa politica concede le autorizzazioni necessarie all'operatore di ingresso per fornire e gestire i sistemi di bilanciamento del carico e le configurazioni DNS per l'accesso al cluster esterno. La policy consente inoltre all'Ingress Operator di leggere e filtrare i valori dei tag delle risorse per scoprire le zone ospitate Route 53 . Per ulteriori informazioni sull'operatore, consulta [OpenShift Ingress Operator](https://github.com/openshift/cluster-ingress-operator) nella OpenShift GitHub documentazione.
### Policy delle autorizzazioni
Le autorizzazioni definite in questo documento di policy specificano quali azioni sono consentite o negate.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"elasticloadbalancing:DescribeLoadBalancers",
"route53:ListHostedZones",
"route53:ListTagsForResources",
"route53:ChangeResourceRecordSets",
"tag:GetResources"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
## [Prefisso] - - openshift-cluster-csi-drivers ebs-cloud-credentials
È possibile collegare `[Prefix]-openshift-cluster-csi-drivers-ebs-cloud-credentials` alle entità IAM. Questa politica concede le autorizzazioni necessarie a Amazon EBS CSI Driver Operator per installare e gestire il driver Amazon EBS CSI su un cluster ROSA classic. Per ulteriori informazioni sull'operatore, vedere [aws-ebs-csi-driver-operator](https://github.com/openshift/aws-ebs-csi-driver-operator#aws-ebs-csi-driver-operator) nella documentazione. OpenShift GitHub
### Policy delle autorizzazioni
Le autorizzazioni definite in questo documento di policy specificano quali azioni sono consentite o negate.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ec2:AttachVolume",
"ec2:CreateSnapshot",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:DeleteSnapshot",
"ec2:DeleteTags",
"ec2:DeleteVolume",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeInstances",
"ec2:DescribeSnapshots",
"ec2:DescribeTags",
"ec2:DescribeVolumes",
"ec2:DescribeVolumesModifications",
"ec2:DetachVolume",
"ec2:EnableFastSnapshotRestores",
"ec2:ModifyVolume"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
## [Prefisso] - -cloud-credentials openshift-machine-api-aws
È possibile collegare `[Prefix]-openshift-machine-api-aws-cloud-credentials` alle entità IAM. Questa politica concede le autorizzazioni necessarie all'operatore Machine Config per descrivere, eseguire e terminare le Amazon EC2 istanze gestite come nodi di lavoro. Questa politica concede inoltre le autorizzazioni per consentire la crittografia del disco del volume root del nodo di lavoro utilizzato. AWS KMS keys Per ulteriori informazioni sull'operatore, consulta la [machine-config-operator](https://github.com/openshift/machine-config-operator) OpenShift GitHub documentazione.
### Policy delle autorizzazioni
Le autorizzazioni definite in questo documento di policy specificano quali azioni sono consentite o negate.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ec2:CreateTags",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeDhcpOptions",
"ec2:DescribeImages",
"ec2:DescribeInstances",
"ec2:DescribeInternetGateways",
"ec2:DescribeInstanceTypes",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRegions",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:RunInstances",
"ec2:TerminateInstances",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeTargetHealth",
"elasticloadbalancing:RegisterInstancesWithLoadBalancer",
"elasticloadbalancing:RegisterTargets",
"elasticloadbalancing:DeregisterTargets",
"iam:CreateServiceLinkedRole"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKey",
"kms:GenerateDataKeyWithoutPlainText",
"kms:DescribeKey"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"kms:RevokeGrant",
"kms:CreateGrant",
"kms:ListGrants"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
}
]
}
```
## [Prefisso] - -cloud-credentials openshift-cloud-credential-operator
È possibile collegare `[Prefix]-openshift-cloud-credential-operator-cloud-credentials` alle entità IAM. Questa policy concede le autorizzazioni necessarie al Cloud Credential Operator per recuperare Utente IAM i dettagli, tra cui la chiave di accesso, i documenti di policy in linea allegati IDs, la data di creazione dell'utente, il percorso, l'ID utente e Amazon Resource Name (ARN). Per ulteriori informazioni sull'operatore, consulta la documentazione. [cloud-credential-operator](https://github.com/openshift/cloud-credential-operator) OpenShift GitHub
### Policy delle autorizzazioni
Le autorizzazioni definite in questo documento di policy specificano quali azioni sono consentite o negate.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iam:GetUser",
"iam:GetUserPolicy",
"iam:ListAccessKeys"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
## [Prefisso] - -cloud-credentials openshift-image-registry-installer
È possibile collegare `[Prefix]-openshift-image-registry-installer-cloud-credentials` alle entità IAM. Questa politica concede le autorizzazioni necessarie all'Image Registry Operator per fornire e gestire le risorse per il registro di immagini integrato nel cluster di ROSA classic e i servizi dipendenti, tra cui. Amazon S3 Ciò è necessario affinché l'operatore possa installare e gestire il registro interno di un cluster ROSA classic. Per ulteriori informazioni sull'operatore, vedere [Image Registry Operator](https://github.com/openshift/cluster-image-registry-operator#image-registry-operator) nella OpenShift GitHub documentazione.
### Policy delle autorizzazioni
Le autorizzazioni definite in questo documento di policy specificano quali azioni sono consentite o negate.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"s3:CreateBucket",
"s3:DeleteBucket",
"s3:PutBucketTagging",
"s3:GetBucketTagging",
"s3:PutBucketPublicAccessBlock",
"s3:GetBucketPublicAccessBlock",
"s3:PutEncryptionConfiguration",
"s3:GetEncryptionConfiguration",
"s3:PutLifecycleConfiguration",
"s3:GetLifecycleConfiguration",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:ListBucketMultipartUploads",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
## [Prefisso] - - openshift-cloud-network-config controller-cloud-cr
È possibile collegare `[Prefix]-openshift-cloud-network-config-controller-cloud-cr` alle entità IAM. Questa politica concede le autorizzazioni necessarie all'operatore del controller di Cloud Network Config per fornire e gestire le risorse di rete da utilizzare con il classico overlay di rete per cluster ROSA. L'operatore utilizza queste autorizzazioni per gestire gli indirizzi IP privati per le Amazon EC2 istanze come parte del cluster ROSA classic. Per ulteriori informazioni sull'operatore, vedere [C loud-network-config-controller](https://github.com/openshift/cloud-network-config-controller#cloud-network-config-controller-cncc) nella OpenShift GitHub documentazione.
### Policy delle autorizzazioni
Le autorizzazioni definite in questo documento di policy specificano quali azioni sono consentite o negate.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeInstanceStatus",
"ec2:DescribeInstanceTypes",
"ec2:UnassignPrivateIpAddresses",
"ec2:AssignPrivateIpAddresses",
"ec2:UnassignIpv6Addresses",
"ec2:AssignIpv6Addresses",
"ec2:DescribeSubnets",
"ec2:DescribeNetworkInterfaces"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
# AWS politiche gestite per ROSA
Una politica AWS gestita è una politica autonoma creata e amministrata da AWS. AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti. Per ulteriori informazioni, consulta [le politiche AWS gestite](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida IAM per l'utente*.
## AWS politica gestita: ROSAManage abbonamento
Puoi allegare la `ROSAManageSubscription` politica alle tue IAM entità. Prima di abilitarla ROSA nella AWS ROSA console, devi prima collegare questa policy a un ruolo IAM.
Questa policy concede le Marketplace AWS autorizzazioni necessarie per gestire l' ROSA abbonamento.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `aws-marketplace:Subscribe`- Concede l'autorizzazione a sottoscrivere il Marketplace AWS prodotto per. ROSA
+ `aws-marketplace:Unsubscribe`- Consente ai responsabili di rimuovere gli abbonamenti ai prodotti. Marketplace AWS
+ `aws-marketplace:ViewSubscriptions`- Consente ai mandanti di visualizzare gli abbonamenti da. Marketplace AWS Ciò è necessario affinché il IAM principale possa visualizzare gli abbonamenti disponibili Marketplace AWS .
Per visualizzare il documento completo sulla policy JSON, consulta [ROSAManageSubscription](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAManageSubscription.html) nella * AWS Managed Policy Reference Guide.*
## ROSA con politiche dell'account HCP
Questa sezione fornisce dettagli sulle politiche dell'account richieste per ROSA con piani di controllo ospitati (HCP). Queste politiche AWS gestite aggiungono le autorizzazioni utilizzate da ROSA con i ruoli HCP IAM. Le autorizzazioni sono necessarie per il supporto tecnico di Red Hat Site Reliability Engineering (SRE), l'installazione del cluster e il piano di controllo e le funzionalità di calcolo.
**Nota**
AWS le policy gestite sono destinate all'uso da parte di ROSA con piani di controllo ospitati (HCP). I cluster classici ROSA utilizzano politiche IAM gestite dal cliente. Per ulteriori informazioni sulle politiche ROSA classic, consulta [Politiche relative agli account ROSA classic](security-iam-rosa-classic-account-policies.md) e[POLITICHE OPERATIVE CLASSICHE DI ROSA](security-iam-rosa-classic-operator-policies.md).
### AWS politica gestita: ROSAWorker InstancePolicy
Puoi collegarti `ROSAWorkerInstancePolicy` alle tue IAM entità. Prima di creare un cluster, devi avere un ruolo IAM con questa policy allegata. Un servizio ROSA effettua chiamate verso altri utenti Servizi AWS per conto dell'utente. Lo fanno per gestire le risorse utilizzate con ogni cluster.
**Dettagli delle autorizzazioni**
Questa politica include le seguenti autorizzazioni che consentono ai nodi di lavoro ROSA di completare le seguenti attività:
+ `ec2`— Valuta i dettagli Regione AWS e le Amazon EC2 istanze come parte della gestione del ciclo di vita del nodo di lavoro del cluster ROSA.
+ `ecr`- Valuta e ottieni immagini dai repository ECR gestiti da ROSA necessarie per l'installazione del cluster e la gestione del ciclo di vita dei nodi di lavoro.
*Per visualizzare il documento completo sulla policy JSON, consulta la Managed Policy Reference Guide [ROSAWorkerInstancePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAWorkerInstancePolicy.html). AWS *
### AWS politica gestita: ROSASRESupport politica
È possibile collegare `ROSASRESupportPolicy` alle entità IAM.
Prima di creare un cluster ROSA con piani di controllo ospitati, è necessario collegare questa policy a un ruolo IAM. Questa policy concede le autorizzazioni necessarie ai Red Hat Site Reliability Engineer (SREs) per osservare, diagnosticare e supportare direttamente AWS le risorse associate ai ROSA cluster, inclusa la possibilità di modificare ROSA lo stato dei nodi del cluster.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni che consentono a Red Hat di SREs completare le seguenti attività:
+ `cloudtrail`— Leggi AWS CloudTrail gli eventi e i percorsi relativi al cluster.
+ `cloudwatch`— Leggi le Amazon CloudWatch metriche relative al cluster.
+ `ec2`— Leggi, descrivi e rivedi Amazon EC2 i componenti relativi allo stato del cluster, come i gruppi di sicurezza, le connessioni degli endpoint VPC e lo stato del volume. Avvia, arresta, riavvia e termina le istanze. Amazon EC2
+ `elasticloadbalancing`— Leggi, descrivi e rivedi Elastic Load Balancing i parametri relativi allo stato del cluster.
+ `iam`— Valuta IAM i ruoli relativi allo stato del cluster.
+ `route53`— Rivedi le impostazioni DNS relative allo stato del cluster.
+ `sts`— `DecodeAuthorizationMessage` — Leggi IAM i messaggi per scopi di debug.
Per visualizzare il documento completo sulla policy JSON, consulta Policy nella * AWS Managed ROSASRESupport* [Policy Reference](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSASRESupportPolicy.html) Guide.
### AWS politica gestita: ROSAInstaller politica
Puoi collegarti `ROSAInstallerPolicy` alle tue IAM entità.
Prima di creare un cluster ROSA con piani di controllo ospitati, è necessario collegare questa policy a un ruolo IAM denominato`[Prefix]-ROSA-Worker-Role`. Questa policy consente alle entità di aggiungere qualsiasi ruolo che segua lo `[Prefix]-ROSA-Worker-Role` schema a un profilo di istanza. Questa politica concede all'installatore le autorizzazioni necessarie per gestire le AWS risorse che supportano ROSA l'installazione del cluster.
**Dettagli delle autorizzazioni**
Questa politica include le seguenti autorizzazioni che consentono all'installatore di completare le seguenti attività:
+ `ec2`— Esegui Amazon EC2 istanze utilizzando un AMIs server ospitato in Account AWS proprietà e gestito da Red Hat. Amazon EC2 Descrivi le istanze, i volumi e le risorse di rete associate Amazon EC2 ai nodi. Questa autorizzazione è necessaria affinché il piano di controllo di Kubernetes possa unire le istanze a un cluster e il cluster possa valutarne la presenza all'interno. Amazon VPC Controlla le prenotazioni di capacità di Amazon EC2 per supportare la nuova funzionalità di prenotazione della capacità in ROSA. Etichetta ed elimina i tag sulle sottoreti utilizzando le chiavi dei tag corrispondenti. `"kubernetes.io/cluster/*"` Ciò è necessario per garantire che il load balancer utilizzato per l'ingresso del cluster venga creato solo nelle sottoreti applicabili e per gestire i tag di identificazione del cluster Kubernetes.
+ `elasticloadbalancing`— Aggiungere sistemi di bilanciamento del carico ai nodi di destinazione su un cluster. Rimuovi i sistemi di bilanciamento del carico dai nodi di destinazione su un cluster. Questa autorizzazione è necessaria affinché il piano di controllo Kubernetes possa fornire dinamicamente i bilanciatori del carico richiesti dai servizi e dai servizi applicativi Kubernetes. OpenShift
+ `kms`— Leggi una AWS KMS chiave, crea e gestisci le concessioni e restituisci una chiave dati simmetrica unica da Amazon EC2 utilizzare all'esterno di. AWS KMS Ciò è necessario per l'uso di `etcd` dati crittografati quando la `etcd` crittografia è abilitata al momento della creazione del cluster.
+ `iam`— Convalida i ruoli e le politiche IAM. Fornisci e gestisci dinamicamente i profili di Amazon EC2 istanza pertinenti al cluster. Aggiungi tag a un profilo di istanza IAM utilizzando l'`iam:TagInstanceProfile`autorizzazione. Fornisci messaggi di errore all'installatore quando l'installazione del cluster non riesce a causa della mancanza di un provider OIDC del cluster specificato dal cliente.
+ `route53`— Gestisci le Route 53 risorse necessarie per creare cluster.
+ `servicequotas`— Valuta le quote di servizio necessarie per creare un cluster.
+ `sts`— Creare AWS STS credenziali temporanee per i ROSA componenti. Assumi le credenziali per la creazione del cluster.
+ `secretsmanager`— Leggi un valore segreto per consentire in modo sicuro la configurazione OIDC gestita dal cliente come parte del provisioning del cluster.
*Per visualizzare il documento completo sulla policy JSON, consulta Policy nella Managed Policy Reference [ROSAInstallerGuide](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAInstallerPolicy.html). AWS *
### AWS politica gestita: ROSAShared VPCRoute53 politica
Puoi collegarti `ROSASharedVPCRoute53Policy` alle tue IAM entità. È necessario collegare questa policy a un ruolo IAM per consentire a un cluster ROSA di effettuare chiamate ad altri Servizi AWS in ambienti VPC condivisi.
Questa politica consente all'installatore ROSA di configurare i record della Route 53. Questa policy è pensata per essere utilizzata su un VPC condiviso e fornisce un sottoinsieme di autorizzazioni Route 53 su misura per casi d'uso VPC condivisi.
**Dettagli delle autorizzazioni**
Questa politica include le seguenti autorizzazioni che consentono al programma di installazione ROSA di completare le seguenti attività:
+ `route53`— Leggi le informazioni sulla zona DNS e i record DNS esistenti per comprendere la configurazione DNS corrente. Crea, modifica ed elimina i record DNS, ma solo per modelli di dominio specifici relativi a ROSA, tra cui`.hypershift.local`,, e. `.openshiftapps.com` `.devshift.org` `.openshiftusgov.com` `.devshiftusgov.com` Aggiungi, modifica o rimuovi tag sulle risorse della Route 53 per la gestione e l'organizzazione delle risorse.
+ `tag`— Scopri ed elenca AWS le risorse in base ai relativi tag, utile per identificare le risorse gestite da ROSA.
Per visualizzare maggiori dettagli sulla policy, inclusa l'ultima versione del documento sulla policy JSON, consulta Policy nella * AWS Managed [ROSASharedVPCRoute53Policy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSASharedVPCRoute53Policy.html) Reference Guide*.
### AWS politica gestita: ROSAShared VPCEndpoint politica
Puoi collegarti `ROSASharedVPCEndpointPolicy` alle tue IAM entità. È necessario collegare questa policy a un ruolo IAM per consentire a un cluster ROSA di effettuare chiamate ad altri Servizi AWS in ambienti VPC condivisi.
Questa policy consente all'installatore ROSA di configurare endpoint VPC e gruppi di sicurezza in ambienti VPC condivisi.
**Dettagli delle autorizzazioni**
Questa politica include le seguenti autorizzazioni che consentono al programma di installazione ROSA di completare le seguenti attività:
+ `ec2`— Autorizzazioni di sola lettura per descrivere le risorse relative al VPC, inclusi gli endpoint VPC e i gruppi di sicurezza per comprendere l'ambiente di VPCs rete. Crea, elimina e modifica gruppi di sicurezza con restrizioni basate su tag, permettendo a ROSA di creare e gestire gruppi di sicurezza per reti di cluster, limitando al contempo le operazioni alle sole risorse con tag ROSA. Crea, modifica ed elimina endpoint VPC con restrizioni basate su tag, permettendo a ROSA di creare e gestire endpoint VPC per la connettività privata in ambienti VPC condivisi. Servizi AWS Applica i tag agli endpoint VPC e ai gruppi di sicurezza appena creati durante la creazione per una corretta identificazione e gestione delle risorse.
Per visualizzare maggiori dettagli sulla policy, inclusa l'ultima versione del documento sulla policy JSON, consulta Policy nella * AWS Managed [ROSASharedVPCEndpointPolicy Reference](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSASharedVPCEndpointPolicy.html) Guide*.
## ROSA con politiche degli operatori HCP
Questa sezione fornisce dettagli sulle politiche degli operatori necessarie per ROSA con piani di controllo ospitati (HCP). È possibile allegare queste politiche AWS gestite ai ruoli di operatore necessari per utilizzare ROSA con HCP. Le autorizzazioni sono necessarie per consentire agli OpenShift operatori di gestire ROSA con i nodi del cluster HCP.
**Nota**
AWS le politiche gestite sono destinate all'uso da parte di ROSA con piani di controllo ospitati (HCP). I cluster classici ROSA utilizzano politiche IAM gestite dal cliente. Per ulteriori informazioni sulle politiche ROSA classic, consulta [Politiche relative agli account ROSA classic](security-iam-rosa-classic-account-policies.md) e[POLITICHE OPERATIVE CLASSICHE DI ROSA](security-iam-rosa-classic-operator-policies.md).
### AWS politica gestita: ROSAAmazon EBSCSIDriver OperatorPolicy
Puoi collegarti `ROSAAmazonEBSCSIDriverOperatorPolicy` alle tue IAM entità. È necessario collegare questa policy a un ruolo di operatore IAM per consentire a un cluster ROSA con piani di controllo ospitati di effettuare chiamate verso altri Servizi AWS. È richiesto un set unico di ruoli di operatore per ogni cluster.
Questa politica concede le autorizzazioni necessarie al Amazon EBS CSI Driver Operator per installare e gestire il driver Amazon EBS CSI su un cluster. ROSA [Per ulteriori informazioni sull'operatore, consulta aws-ebs-csi-driver l'operatore nella documentazione.](https://github.com/openshift/aws-ebs-csi-driver-operator#aws-ebs-csi-driver-operator) OpenShift GitHub
**Dettagli delle autorizzazioni**
Questa politica include le seguenti autorizzazioni che consentono all'operatore del Amazon EBS conducente di completare le seguenti attività:
+ `ec2`— Creare, modificare, allegare, scollegare ed eliminare i Amazon EBS volumi collegati alle Amazon EC2 istanze. Crea ed elimina istantanee di Amazon EBS volume ed elenca Amazon EC2 istanze, volumi e istantanee.
Per visualizzare il documento completo sulla policy JSON, consulta la * AWS Managed* Policy [ROSAAmazonEBSCSIDriverOperatorPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAAmazonEBSCSIDriverOperatorPolicy.html)Reference Guide.
### AWS politica gestita: ROSAIngress OperatorPolicy
Puoi collegarti `ROSAIngressOperatorPolicy` alle tue IAM entità. È necessario collegare questa policy a un ruolo di operatore IAM per consentire a un cluster ROSA con piani di controllo ospitati di effettuare chiamate verso altri Servizi AWS. È richiesto un set unico di ruoli di operatore per ogni cluster.
Questa politica concede le autorizzazioni necessarie all'Ingress Operator per fornire e gestire i sistemi di bilanciamento del carico e le configurazioni DNS per i cluster. ROSA La policy consente l'accesso in lettura ai valori dei tag. L'operatore filtra quindi i valori dei tag per Route 53 le risorse per scoprire le zone ospitate. Per ulteriori informazioni sull'operatore, consulta [OpenShift Ingress Operator](https://github.com/openshift/cluster-ingress-operator#openshift-ingress-operator) nella OpenShift GitHub documentazione.
**Dettagli delle autorizzazioni**
Questa politica include le seguenti autorizzazioni che consentono all'operatore di ingresso di completare le seguenti attività:
+ `elasticloadbalancing`— Descrivere lo stato dei sistemi di bilanciamento del carico predisposti.
+ `route53`— Elenca le zone Route 53 ospitate e modifica i record che gestiscono il DNS controllato dal cluster ROSA.
+ `tag`— Gestisci le risorse contrassegnate utilizzando l'`tag:GetResources`autorizzazione.
Per visualizzare il documento completo sulla policy JSON, consulta [ROSAIngressOperatorPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAIngressOperatorPolicy.html)la * AWS Managed Policy Reference Guide*.
### AWS politica gestita: ROSAImage RegistryOperatorPolicy
Puoi collegarti `ROSAImageRegistryOperatorPolicy` alle tue IAM entità. È necessario collegare questa policy a un ruolo di operatore IAM per consentire a un cluster ROSA con piani di controllo ospitati di effettuare chiamate verso altri Servizi AWS. È richiesto un set unico di ruoli di operatore per ogni cluster.
Questa politica concede le autorizzazioni necessarie all'Image Registry Operator per fornire e gestire le risorse per il registro delle immagini all' ROSA interno del cluster e i servizi dipendenti, incluso S3. Ciò è necessario per consentire all'operatore di installare e gestire il registro interno di un cluster. ROSA Per ulteriori informazioni sull'operatore, vedere [Image Registry Operator](https://github.com/openshift/cluster-image-registry-operator#image-registry-operator) nella OpenShift GitHub documentazione.
**Dettagli delle autorizzazioni**
Questa politica include le seguenti autorizzazioni che consentono all'Image Registry Operator di completare le seguenti azioni:
+ `s3`— Gestisci e valuta Amazon S3 i bucket come storage persistente per il contenuto delle immagini dei container e i metadati del cluster.
Per visualizzare il documento completo sulla policy JSON, consulta la * AWS Managed Policy [ROSAImageRegistryOperatorPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAImageRegistryOperatorPolicy.html)*Reference Guide.
### AWS politica gestita: ROSACloud NetworkConfigOperatorPolicy
Puoi collegarti `ROSACloudNetworkConfigOperatorPolicy` alle tue IAM entità. È necessario collegare questa policy a un ruolo di operatore IAM per consentire a un cluster ROSA con piani di controllo ospitati di effettuare chiamate verso altri Servizi AWS. È richiesto un set unico di ruoli di operatore per ogni cluster.
Questa politica concede le autorizzazioni necessarie all'operatore del controller di Cloud Network Config per fornire e gestire le risorse di rete per l'overlay di rete del ROSA cluster. L'operatore utilizza queste autorizzazioni per gestire gli indirizzi IP privati per le Amazon EC2 istanze come parte del cluster. ROSA Per ulteriori informazioni sull'operatore, vedere [C loud-network-config-controller](https://github.com/openshift/cloud-network-config-controller#cloud-network-config-controller-cncc) nella OpenShift GitHub documentazione.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni che consentono all'operatore del Cloud Network Config Controller di completare le seguenti attività:
+ `ec2`— Leggere, assegnare e descrivere le configurazioni per connettere Amazon EC2 istanze, Amazon VPC sottoreti e interfacce di rete elastiche in un cluster. ROSA
*Per visualizzare il documento completo sulla policy JSON, consulta la Managed Policy Reference Guide [ROSACloudNetworkConfigOperatorPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSACloudNetworkConfigOperatorPolicy.html). AWS *
### AWS politica gestita: ROSAKube ControllerPolicy
Puoi collegarti `ROSAKubeControllerPolicy` alle tue IAM entità. È necessario collegare questa policy a un ruolo di operatore IAM per consentire a un cluster ROSA con piani di controllo ospitati di effettuare chiamate verso altri Servizi AWS. È richiesto un set unico di ruoli di operatore per ogni cluster.
Questa politica concede le autorizzazioni necessarie al controller kube per la gestione Amazon EC2 e le AWS KMS risorse per un cluster ROSA con piani di controllo ospitati. Elastic Load Balancing Per ulteriori informazioni su questo controller, consulta l'[architettura del controller nella documentazione](https://hypershift-docs.netlify.app/reference/controller-architecture/). OpenShift
**Dettagli delle autorizzazioni**
Questa politica include le seguenti autorizzazioni che consentono al controller kube di completare le seguenti attività:
+ `ec2`— Creare, eliminare e aggiungere tag ai gruppi di sicurezza delle Amazon EC2 istanze. Aggiungi regole in entrata ai gruppi di sicurezza. Descrivi le zone di disponibilità, Amazon EC2 le istanze, le tabelle di routing VPCs, i gruppi di sicurezza e le sottoreti.
+ `elasticloadbalancing`— Crea e gestisci sistemi di bilanciamento del carico e le relative politiche. Crea e gestisci i listener di load balancer. Registra e annulla la registrazione degli obiettivi con i gruppi target e gestisci i gruppi target. Registra e annulla la registrazione Amazon EC2 delle istanze con un sistema di bilanciamento del carico e aggiungi tag ai sistemi di bilanciamento del carico.
+ `kms`— Recupera informazioni dettagliate su una chiave. AWS KMS Ciò è necessario per l'utilizzo di `etcd` dati crittografati quando la `etcd` crittografia è abilitata al momento della creazione del cluster.
Per visualizzare il documento completo sulla policy JSON, consulta [ROSAKubeControllerPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAKubeControllerPolicy.html)la * AWS Managed Policy Reference Guide*.
### AWS politica gestita: ROSANode PoolManagementPolicy
Puoi collegarti `ROSANodePoolManagementPolicy` alle tue IAM entità. È necessario collegare questa policy a un ruolo di operatore IAM per consentire a un cluster ROSA con piani di controllo ospitati di effettuare chiamate ad altri AWS servizi. È richiesto un set unico di ruoli di operatore per ogni cluster.
Questa politica concede le autorizzazioni necessarie al NodePool controller per descrivere, eseguire e terminare Amazon EC2 le istanze gestite come nodi di lavoro. Questa policy concede inoltre le autorizzazioni per consentire la crittografia del disco del volume root del nodo di lavoro mediante AWS KMS chiavi, per etichettare l'interfaccia elastica di rete collegata al nodo di lavoro e per accedere alle prenotazioni di capacità di Amazon EC2. Per ulteriori informazioni su questo controller, consulta l'[architettura del controller nella documentazione](https://hypershift-docs.netlify.app/reference/controller-architecture/). OpenShift
**Dettagli delle autorizzazioni**
Questa politica include le seguenti autorizzazioni che consentono al NodePool controller di completare le seguenti attività:
+ `ec2`— Esegui Amazon EC2 istanze utilizzando un AMIs server ospitato in Account AWS proprietà e gestito da Red Hat. Gestisci i cicli di vita EC2 nel cluster. ROSA Crea e integra dinamicamente nodi di lavoro con Elastic Load Balancing,,, Amazon VPC e. Route 53 Amazon EBS Amazon EC2 Accedi e descrivi le prenotazioni di capacità per supportare la funzionalità di prenotazione della capacità in ROSA.
+ `iam`— Utilizzo Elastic Load Balancing tramite il ruolo collegato al servizio denominato. `AWSServiceRoleForElasticLoadBalancing` Assegna ruoli ai profili di istanza Amazon EC2 .
+ `kms`— Leggi una AWS KMS chiave, crea e gestisci le sovvenzioni e restituisci una chiave dati simmetrica unica da utilizzare all'esterno di. Amazon EC2 AWS KMS Ciò è necessario per consentire la crittografia del disco del volume principale del nodo di lavoro.
Per visualizzare il documento completo sulla policy JSON, consulta [ROSANodePoolManagementPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSANodePoolManagementPolicy.html)la * AWS Managed Policy Reference Guide*.
### AWS politica gestita: ROSAKMSProvider politica
Puoi collegarti `ROSAKMSProviderPolicy` alle tue IAM entità. È necessario collegare questa policy a un ruolo di operatore IAM per consentire a un cluster ROSA con piani di controllo ospitati di effettuare chiamate verso altri Servizi AWS. È richiesto un set unico di ruoli di operatore per ogni cluster.
Questa politica concede le autorizzazioni necessarie all' AWS Encryption Provider integrato per gestire AWS KMS le chiavi che supportano la crittografia `etcd` dei dati. Questa politica consente di Amazon EC2 utilizzare le chiavi KMS fornite dall' AWS Encryption Provider per crittografare e decrittografare i dati. `etcd` Per ulteriori informazioni su questo provider, consulta [AWS Encryption Provider nella documentazione di Kubernetes](https://github.com/kubernetes-sigs/aws-encryption-provider#aws-encryption-provider). GitHub
**Dettagli delle autorizzazioni**
Questa politica include le seguenti autorizzazioni che consentono all' AWS Encryption Provider di completare le seguenti attività:
+ `kms`— Crittografa, decrittografa e recupera qualsiasi chiave. AWS KMS Ciò è necessario per l'utilizzo di `etcd` dati crittografati quando la `etcd` crittografia è abilitata al momento della creazione del cluster.
Per visualizzare il documento completo sulla policy JSON, consulta [ROSAKMSProviderPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAKMSProviderPolicy.html) nella * AWS Managed Policy Reference Guide*.
### AWS politica gestita: ROSAControl PlaneOperatorPolicy
Puoi collegarti `ROSAControlPlaneOperatorPolicy` alle tue IAM entità. È necessario collegare questa policy a un ruolo di operatore IAM per consentire a un cluster ROSA con piani di controllo ospitati di effettuare chiamate verso altri Servizi AWS. È richiesto un set unico di ruoli di operatore per ogni cluster.
Questa politica concede le autorizzazioni necessarie all'operatore del Control Plane per la gestione Amazon EC2 e Route 53 le risorse per ROSA con cluster di piani di controllo ospitati. Per ulteriori informazioni su questo operatore, consulta l'[architettura del controller nella documentazione](https://hypershift-docs.netlify.app/reference/controller-architecture/). OpenShift
**Dettagli delle autorizzazioni**
Questa politica include le seguenti autorizzazioni che consentono all'operatore del piano di controllo di completare le seguenti attività:
+ `ec2`— Creare e gestire gli Amazon VPC endpoint.
+ `route53`— Elenca e modifica i set di Route 53 record ed elenca le zone ospitate.
Per visualizzare il documento completo sulla policy JSON, consulta [ROSAControlPlaneOperatorPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAControlPlaneOperatorPolicy.html)la * AWS Managed Policy Reference Guide*.
## ROSA aggiornamenti alle politiche AWS gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite ROSA da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per gli avvisi automatici sulle modifiche apportate alla pagina, iscriviti al feed RSS alla pagina [Cronologia dei documenti](doc-history.md).
| Modifica | Descrizione | Data |
| --- | --- | --- |
| ROSANodePoolManagementPolicy — Politica aggiornata | ROSA ha aggiornato la policy per aggiungere l'accesso alle risorse per le prenotazioni di capacità di Amazon EC2. Questa modifica consente al NodePool controller di accedere e descrivere Capacity Reservations per una migliore gestione delle risorse. Per ulteriori informazioni, consulta [AWS politica gestita: ROSANode PoolManagementPolicy](#security-iam-awsmanpol-rosanodepoolmanagementpolicy). | 3 settembre 2025 |
| ROSASharedVPCEndpointPolitica: aggiunta una nuova politica | ROSA ha aggiunto una nuova policy per consentire all' ROSA installatore di configurare endpoint VPC e gruppi di sicurezza in ambienti VPC condivisi. Questa policy fornisce un sottoinsieme di autorizzazioni EC2 su misura per casi d'uso VPC condivisi. Per ulteriori informazioni, consulta [AWS politica gestita: ROSAShared VPCEndpoint politica](#security-iam-awsmanpol-rosasharedvpcendpointpolicy). | 7 agosto 2025 |
| ROSASharedVPCRoute53Politica: è stata aggiunta una nuova politica | ROSA ha aggiunto una nuova policy per consentire all' ROSA installatore di configurare i record Route 53 in ambienti VPC condivisi. Questa policy fornisce un sottoinsieme di autorizzazioni Route 53 su misura per casi d'uso VPC condivisi. Per ulteriori informazioni, consulta [AWS politica gestita: ROSAShared VPCRoute53 politica](#security-iam-awsmanpol-rosasharedvpcroute53policy). | 7 agosto 2025 |
| ROSAInstallerPolicy: policy aggiornata | ROSA ha aggiornato la policy per consentire all' ROSA installatore di ispezionare Amazon EC2 Capacity Reservations per supportare la nuova funzionalità Capacity Reservations in ROSA. Questo aggiornamento consente inoltre all'installatore di eliminare i tag sulle sottoreti utilizzando chiavi di tag corrispondenti `"kubernetes.io/cluster/*"` per una migliore gestione dei tag del cluster Kubernetes. Per ulteriori informazioni, consulta [AWS politica gestita: ROSAInstaller politica](#security-iam-awsmanpol-rosainstallerpolicy). | 7 agosto 2025 |
| ROSAImageRegistryOperatorPolicy — Politica aggiornata | ROSA ha aggiornato la policy in modo che le autorizzazioni siano limitate al livello di risorsa del bucket S3. Questa modifica soddisfa i requisiti di archiviazione ROSA sia per le aree commerciali che per quelle regionali. AWS GovCloud Per ulteriori informazioni, consulta [AWS politica gestita: ROSAImage RegistryOperatorPolicy](#security-iam-awsmanpol-rosaimageregistryoperatorpolicy). | 19 maggio 2025 |
| ROSANodePoolManagementPolicy — Politica aggiornata | ROSA ha aggiornato la policy per consentire il tagging dell'interfaccia elastica di rete collegata al nodo di lavoro. Per ulteriori informazioni, consulta [AWS politica gestita: ROSANode PoolManagementPolicy](#security-iam-awsmanpol-rosanodepoolmanagementpolicy). | 5 maggio 2025 |
| ROSAImageRegistryOperatorPolicy — Politica aggiornata | ROSA ha aggiornato la policy per consentire a Red Hat OpenShift Image Registry Operator di effettuare il provisioning e gestire i bucket e gli oggetti Amazon S3 nelle AWS GovCloud regioni per l'utilizzo da parte del registro di immagini ROSA in-cluster. Questa modifica soddisfa i requisiti di storage ROSA per le regioni. AWS GovCloud Per ulteriori informazioni, consulta [AWS politica gestita: ROSAImage RegistryOperatorPolicy](#security-iam-awsmanpol-rosaimageregistryoperatorpolicy). | 16 aprile 2025 |
| ROSAWorkerInstancePolicy — Politica aggiornata | ROSA ha aggiornato la policy per consentire ai nodi di lavoro di valutare e ottenere immagini dai repository ECR gestiti da ROSA necessarie per l'installazione del cluster e la gestione del ciclo di vita dei nodi di lavoro. Per ulteriori informazioni, consulta [AWS politica gestita: ROSAWorker InstancePolicy](#security-iam-awsmanpol-rosaworkerinstancepolicy). | 3 marzo 2025 |
| ROSANodePoolManagementPolicy — Politica aggiornata | ROSA ha aggiornato la policy per consentire alle interfacce di rete elastiche di essere etichettate in modo simile alle istanze EC2 solo durante le RunInstances chiamate ec2: quando la richiesta include il tag. `red-hat-managed: true` Queste autorizzazioni sono necessarie per supportare ROSA con i cluster HCP 4.17. Per ulteriori informazioni, consulta [AWS politica gestita: ROSANode PoolManagementPolicy](#security-iam-awsmanpol-rosanodepoolmanagementpolicy). | 24 febbraio 2025 |
| ROSAAmazonEBSCSIDriverOperatorPolicy — Politica aggiornata | ROSA ha aggiornato la policy per supportare la nuova API di autorizzazione delle Amazon EBS istantanee. Per ulteriori informazioni, consulta [AWS politica gestita: ROSAAmazon EBSCSIDriver OperatorPolicy](#security-iam-awsmanpol-rosaamazonebscsidriveroperatorpolicy). | 17 gennaio 2025 |
| ROSANodePoolManagementPolicy — Politica aggiornata | ROSA ha aggiornato la policy per consentire al gestore del pool di ROSA nodi di descrivere i set di opzioni DHCP al fine di impostare i nomi DNS privati appropriati. Per ulteriori informazioni, consulta [AWS politica gestita: ROSANode PoolManagementPolicy](#security-iam-awsmanpol-rosanodepoolmanagementpolicy). | 2 maggio 2024 |
| ROSAInstallerPolitica: politica aggiornata | ROSA ha aggiornato la politica per consentire all' ROSA installatore di aggiungere tag alle sottoreti utilizzando le chiavi dei tag corrispondenti. `"kubernetes.io/cluster/*"` Per ulteriori informazioni, consulta [AWS politica gestita: ROSAInstaller politica](#security-iam-awsmanpol-rosainstallerpolicy). | 24 aprile 2024 |
| ROSASRESupportPolitica: politica aggiornata | ROSA ha aggiornato la policy per consentire al ruolo SRE di recuperare informazioni sui profili di istanza che sono stati contrassegnati da ROSA as. `red-hat-managed` Per ulteriori informazioni, consulta [AWS politica gestita: ROSASRESupport politica](#security-iam-awsmanpol-rosasresupportpolicy). | 10 aprile 2024 |
| ROSAInstallerPolitica: politica aggiornata | ROSA ha aggiornato la politica per consentire all' ROSA installatore di verificare che le politiche AWS gestite per ROSA siano associate ai IAM ruoli utilizzati da. ROSA Questo aggiornamento consente inoltre all'installatore di identificare se le politiche gestite dal cliente sono state associate ai ruoli. ROSA Per ulteriori informazioni, consulta [AWS politica gestita: ROSAInstaller politica](#security-iam-awsmanpol-rosainstallerpolicy). | 10 aprile 2024 |
| ROSAInstallerPolitica: politica aggiornata | ROSA ha aggiornato la policy per consentire al servizio di fornire messaggi di avviso all'installatore quando l'installazione del cluster non riesce a causa della mancanza di un provider OIDC del cluster specificato dal cliente. Questo aggiornamento consente inoltre al servizio di recuperare i name server DNS esistenti in modo che le operazioni di provisioning del cluster siano idempotenti. Per ulteriori informazioni, consulta [AWS politica gestita: ROSAInstaller politica](#security-iam-awsmanpol-rosainstallerpolicy). | 26 gennaio 2024 |
| ROSASRESupportPolitica: politica aggiornata | ROSA ha aggiornato la policy per consentire al servizio di eseguire operazioni di lettura sui gruppi di sicurezza utilizzando l' DescribeSecurityGroups API. Per ulteriori informazioni, consulta [AWS politica gestita: ROSASRESupport politica](#security-iam-awsmanpol-rosasresupportpolicy). | 22 gennaio 2024 |
| ROSAImageRegistryOperatorPolicy — Politica aggiornata | ROSA ha aggiornato la politica per consentire all'Image Registry Operator di intraprendere azioni sui Amazon S3 bucket nelle regioni con nomi di 14 caratteri. Per ulteriori informazioni, consulta [AWS politica gestita: ROSAImage RegistryOperatorPolicy](#security-iam-awsmanpol-rosaimageregistryoperatorpolicy). | 12 dicembre 2023 |
| ROSAKubeControllerPolicy — Politica aggiornata | ROSA ha aggiornato la politica per consentire di kube-controller-manager descrivere zone di disponibilità, Amazon EC2 istanze, tabelle di routing VPCs, gruppi di sicurezza e sottoreti. Per ulteriori informazioni, consulta [AWS politica gestita: ROSAKube ControllerPolicy](#security-iam-awsmanpol-rosakubecontrollerpolicy). | 16 ottobre 2023 |
| ROSAManageAbbonamento: politica aggiornata | ROSA ha aggiornato la politica per aggiungere il ROSA con piani di controllo ospitati ProductId. Per ulteriori informazioni, consulta [AWS politica gestita: ROSAManage abbonamento](#security-iam-awsmanpol-rosamanagesubscription). | 1° agosto 2023 |
| ROSAKubeControllerPolicy — Politica aggiornata | ROSA ha aggiornato la politica per consentire la creazione di Network kube-controller-manager Load Balancer come bilanciatori del carico del servizio Kubernetes. I Network Load Balancer offrono una maggiore capacità di gestire carichi di lavoro volatili e supportano indirizzi IP statici per il load balancer. Per ulteriori informazioni, consulta [AWS politica gestita: ROSAKube ControllerPolicy](#security-iam-awsmanpol-rosakubecontrollerpolicy). | 13 luglio 2023 |
| ROSANodePoolManagementPolicy — Aggiunta una nuova politica | ROSA ha aggiunto una nuova policy per consentire al NodePool controller di descrivere, eseguire e terminare Amazon EC2 le istanze gestite come nodi di lavoro. Questa politica consente inoltre la crittografia del disco del volume root del nodo di lavoro utilizzando AWS KMS le chiavi. Per ulteriori informazioni, consulta [AWS politica gestita: ROSANode PoolManagementPolicy](#security-iam-awsmanpol-rosanodepoolmanagementpolicy). | 8 giugno 2023 |
| ROSAInstallerPolicy: è stata aggiunta una nuova politica | ROSA ha aggiunto una nuova politica per consentire all'installatore di gestire AWS le risorse che supportano l'installazione del cluster. Per ulteriori informazioni, consulta [AWS politica gestita: ROSAInstaller politica](#security-iam-awsmanpol-rosainstallerpolicy). | 6 giugno 2023 |
| ROSASRESupportPolitica: è stata aggiunta una nuova politica | ROSA ha aggiunto una nuova policy per consentire SREs a Red Hat di osservare, diagnosticare e supportare direttamente AWS le risorse associate ai ROSA cluster, inclusa la possibilità di modificare lo stato dei nodi del ROSA cluster. Per ulteriori informazioni, consulta [AWS politica gestita: ROSASRESupport politica](#security-iam-awsmanpol-rosasresupportpolicy). | 1 giugno 2023 |
| ROSAKMSProviderPolicy — È stata aggiunta una nuova policy | ROSA ha aggiunto una nuova politica per consentire all' AWS Encryption Provider integrato di gestire AWS KMS le chiavi per supportare la crittografia dei dati etcd. Per ulteriori informazioni, consulta [AWS politica gestita: ROSAKMSProvider politica](#security-iam-awsmanpol-rosakmsproviderpolicy). | 27 aprile 2023 |
| ROSAKubeControllerPolicy — Aggiunta una nuova politica | ROSA ha aggiunto una nuova policy per consentire al controller kube di gestire e gestire Amazon EC2 le Elastic Load Balancing AWS KMS risorse relative ai cluster ROSA con piani di controllo ospitati. Per ulteriori informazioni, consulta [AWS politica gestita: ROSAKube ControllerPolicy](#security-iam-awsmanpol-rosakubecontrollerpolicy). | 27 aprile 2023 |
| ROSAImageRegistryOperatorPolicy — Aggiunta una nuova politica | ROSA ha aggiunto una nuova politica per consentire all'Image Registry Operator di fornire e gestire le risorse per il registro delle immagini ROSA interno al cluster e i servizi dipendenti, incluso S3. Per ulteriori informazioni, consulta [AWS politica gestita: ROSAImage RegistryOperatorPolicy](#security-iam-awsmanpol-rosaimageregistryoperatorpolicy). | 27 aprile 2023 |
| ROSAControlPlaneOperatorPolicy — Aggiunta una nuova politica | ROSA ha aggiunto una nuova politica per consentire all'operatore del piano di controllo di gestire Amazon EC2 le Route 53 risorse relative ROSA ai cluster di piani di controllo ospitati. Per ulteriori informazioni, consulta [AWS politica gestita: ROSAControl PlaneOperatorPolicy](#security-iam-awsmanpol-rosacontrolplaneoperatorpolicy). | 24 aprile 2023 |
| ROSACloudNetworkConfigOperatorPolicy — Aggiunta una nuova politica | ROSA ha aggiunto una nuova policy per consentire al Cloud Network Config Controller Operator di fornire e gestire le risorse di rete per l'overlay di rete del ROSA cluster. Per ulteriori informazioni, consulta [AWS politica gestita: ROSACloud NetworkConfigOperatorPolicy](#security-iam-awsmanpol-rosacloudnetworkconfigoperatorpolicy). | 20 aprile 2023 |
| ROSAIngressOperatorPolicy — Aggiunta una nuova politica | ROSA ha aggiunto una nuova politica per consentire a Ingress Operator di fornire e gestire sistemi di bilanciamento del carico e configurazioni DNS per i cluster. ROSA Per ulteriori informazioni, consulta [AWS politica gestita: ROSAIngress OperatorPolicy](#security-iam-awsmanpol-rosaingressoperatorpolicy). | 20 aprile 2023 |
| ROSAAmazonEBSCSIDriverOperatorPolicy — Aggiunta una nuova politica | ROSA ha aggiunto una nuova politica per consentire a Amazon EBS CSI Driver Operator di installare e gestire il driver Amazon EBS CSI su un ROSA cluster. Per ulteriori informazioni, consulta [AWS politica gestita: ROSAAmazon EBSCSIDriver OperatorPolicy](#security-iam-awsmanpol-rosaamazonebscsidriveroperatorpolicy). | 20 aprile 2023 |
| ROSAWorkerInstancePolicy — Aggiunta una nuova politica | ROSA ha aggiunto una nuova politica per consentire al servizio di gestire le risorse del cluster. Per ulteriori informazioni, consulta [AWS politica gestita: ROSAWorker InstancePolicy](#security-iam-awsmanpol-rosaworkerinstancepolicy). | 20 aprile 2023 |
| ROSAManageAbbonamento: è stata aggiunta una nuova politica | ROSA ha aggiunto una nuova politica per concedere le Marketplace AWS autorizzazioni necessarie per gestire l' ROSA abbonamento. Per ulteriori informazioni, consulta [AWS politica gestita: ROSAManage abbonamento](#security-iam-awsmanpol-rosamanagesubscription). | 11 aprile 2022 |
| Servizio Red Hat OpenShift su AWS ha iniziato a tenere traccia delle modifiche | Servizio Red Hat OpenShift su AWS ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite. | 2 marzo 2022 |
# Risoluzione dei problemi di ROSA identità e accesso
Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con e. ROSA IAM
## AWS Organizations la politica di controllo del servizio nega le autorizzazioni richieste Marketplace AWS
Se la policy AWS Organizations di controllo del servizio (SCP) non consente le autorizzazioni di Marketplace AWS abbonamento richieste quando si tenta di abilitare ROSA, si verifica il seguente errore della console.
```
An error occurred while enabling ROSA, because a service control policy (SCP) is denying required permissions. Contact your management account administrator, and consult the documentation for troubleshooting.
```
Se ricevi questo errore, devi contattare l'amministratore per ricevere assistenza. L'amministratore è la persona che gestisce gli account dell'organizzazione. Chiedi a quella persona di fare quanto segue:
1. Configura SCP per consentire `aws-marketplace:Subscribe` e `aws-marketplace:Unsubscribe` `aws-marketplace:ViewSubscriptions` autorizzazioni. *Per ulteriori informazioni, vedere [Aggiornamento di un SCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_create.html#update_policy) nella Guida per l' AWS Organizations utente.*
1. Abilita ROSA nell'account di gestione dell'organizzazione.
1. Condividi l' ROSA abbonamento con gli account dei membri che richiedono l'accesso all'interno dell'organizzazione. Per ulteriori informazioni, consulta [Condivisione degli abbonamenti in un'organizzazione](https://docs.aws.amazon.com/marketplace/latest/buyerguide/organizations-sharing.html) nella *Guida all' Marketplace AWS acquisto*.
## L'utente o il ruolo non dispone delle autorizzazioni richieste Marketplace AWS
Se il IAM responsabile non dispone delle autorizzazioni di Marketplace AWS abbonamento richieste quando si tenta di abilitare ROSA, si verifica il seguente errore di console.
```
An error occurred while enabling ROSA, because your user or role does not have the required permissions.
```
Per risolvere il problema, eseguire queste fasi:
1. Vai alla [IAM console](https://console.aws.amazon.com/iam) e collega la policy AWS gestita `ROSAManageSubscription` alla tua identità IAM. Per ulteriori informazioni, consulta [ROSAManageSubscription](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAManageSubscription.html) nella * AWS Managed Policy Reference Guide*.
1. Segui la procedura riportata in [Abilita ROSA e configura i AWS prerequisiti](set-up.md#enable-rosa).
Se non disponi dell'autorizzazione per visualizzare o aggiornare l'autorizzazione impostata IAM o ricevi un errore, devi contattare l'amministratore per ricevere assistenza. Chiedi a quella persona di `ROSAManageSubscription` allegare la tua IAM identità e segui la procedura riportata in[Abilita ROSA e configura i AWS prerequisiti](set-up.md#enable-rosa). Quando un amministratore esegue questa azione, lo abilita ROSA aggiornando il set di autorizzazioni per tutte IAM le identità in. Account AWS
## Marketplace AWS Autorizzazioni richieste bloccate da un amministratore
Se l'amministratore dell'account ha bloccato le autorizzazioni di Marketplace AWS abbonamento richieste, durante il tentativo di attivazione si verifica il seguente errore della console. ROSA
```
An error occurred while enabling ROSA because required permissions have been blocked by an administrator. ROSAManageSubscription includes the permissions required to enable ROSA. Consult the documentation and try again.
```
Se ricevi questo errore, devi contattare l'amministratore per ricevere assistenza. Chiedi a quella persona di fare quanto segue:
1. Vai alla [ROSA console](https://console.aws.amazon.com/rosa) e collega la policy AWS gestita `ROSAManageSubscription` alla tua identità IAM. Per ulteriori informazioni, consulta [ROSAManageSubscription](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAManageSubscription.html) nella * AWS Managed Policy Reference Guide*.
1. Segui la procedura illustrata [Abilita ROSA e configura i AWS prerequisiti](set-up.md#enable-rosa) per abilitare ROSA. Questa procedura consente ROSA l'aggiornamento del set di autorizzazioni per tutte IAM le identità in. Account AWS
## Errore durante la creazione del sistema di bilanciamento del carico: AccessDenied
Se non hai creato un load balancer, il ruolo `AWSServiceRoleForElasticLoadBalacing` collegato al servizio potrebbe non esistere nel tuo account. Il seguente errore si verifica se tenti di creare un ruolo ROSA cluster senza il `AWSServiceRoleForElasticLoadBalacing` ruolo nel tuo account.
```
Error creating network Load Balancer: AccessDenied
```
Per risolvere il problema, eseguire queste fasi:
1. Verifica se il `AWSServiceRoleForElasticLoadBalancing` ruolo è assegnato al tuo account.
```
aws iam get-role --role-name "AWSServiceRoleForElasticLoadBalancing"
```
1. Se non ricopri questo ruolo, segui le istruzioni per creare il ruolo che trovi in [Creare il ruolo collegato al servizio](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/elb-service-linked-roles.html) nella Guida per l'* Elastic Load Balancing utente*.
# Resilienza in ROSA
## AWS resilienza dell'infrastruttura globale
L'infrastruttura AWS globale è costruita attorno a zone Regioni AWS di disponibilità. Regioni AWS forniscono più zone di disponibilità fisicamente separate e isolate, collegate tramite reti a bassa latenza, ad alto throughput e altamente ridondanti. Con le zone di disponibilità è possibile progettare e gestire applicazioni e database che eseguono automaticamente il failover tra zone di disponibilità senza interruzioni. Le zone di disponibilità sono più disponibili, tolleranti ai guasti e scalabili rispetto alle infrastrutture a data center singolo o multiplo tradizionali.
ROSA offre ai clienti la possibilità di eseguire il piano di controllo e il piano dati di Kubernetes in una singola AWS zona di disponibilità o su più zone di disponibilità. Sebbene i cluster Single-AZ possano essere utili per la sperimentazione, i clienti sono incoraggiati a eseguire i propri carichi di lavoro in più di una zona di disponibilità. Ciò garantisce che le applicazioni possano resistere anche a un guasto completo della zona di disponibilità, un evento di per sé molto raro.
Per ulteriori informazioni sulle zone Regioni AWS di disponibilità, vedere [AWS Global Infrastructure](https://aws.amazon.com/about-aws/global-infrastructure/).
## ROSA resilienza del cluster
Il piano ROSA di controllo è costituito da almeno tre nodi del piano OpenShift di controllo. Ogni nodo del piano di controllo è composto da un'istanza del server API, un'`etcd`istanza e dei controller. In caso di guasto del nodo del piano di controllo, tutte le richieste API vengono indirizzate automaticamente agli altri nodi disponibili per garantire la disponibilità del cluster.
Il piano ROSA dati è costituito da almeno due nodi di OpenShift infrastruttura e due OpenShift nodi di lavoro. I nodi dell'infrastruttura eseguono pod che supportano i componenti dell'infrastruttura del OpenShift cluster, come il router predefinito, il OpenShift registro integrato e i componenti per le metriche e il monitoraggio del cluster. OpenShift i nodi di lavoro eseguono i pod delle applicazioni per gli utenti finali.
I tecnici di Red Hat Site Reliability (SREs) gestiscono completamente il piano di controllo e i nodi dell'infrastruttura. Red Hat monitora in SREs modo proattivo il ROSA cluster e si occupa della sostituzione di eventuali nodi del piano di controllo e nodi dell'infrastruttura guasti. Per ulteriori informazioni, consulta [Panoramica delle responsabilità per ROSA](rosa-responsibilities.md).
**Importante**
ROSA Trattandosi di un servizio gestito, Red Hat è responsabile della gestione dell' AWS infrastruttura sottostante che ROSA utilizza. I clienti non devono tentare di chiudere manualmente le Amazon EC2 istanze ROSA utilizzate dalla AWS console o AWS CLI. Questa azione può portare alla perdita dei dati dei clienti.
Se un nodo di lavoro si guasta sul piano dati, il piano di controllo riposiziona i pod non programmati sui nodi di lavoro funzionanti fino a quando il nodo guasto non viene ripristinato o sostituito. I nodi di lavoro guasti possono essere sostituiti manualmente o automaticamente abilitando il ridimensionamento automatico delle macchine in un cluster. Per maggiori informazioni, consulta [Cluster autoscaling](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/cluster_administration/rosa-cluster-autoscaling) nella documentazione di Red Hat.
## Resilienza delle applicazioni implementate dal cliente
Sebbene ROSA fornisca molte protezioni per garantire un'elevata disponibilità del servizio, i clienti hanno la responsabilità di creare le applicazioni implementate in modo da garantire l'elevata disponibilità per proteggere i carichi di lavoro dai tempi di inattività. Per ulteriori informazioni, consultate [About availability ROSA nella documentazione di Red](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/introduction_to_rosa/policies-and-service-definition#about-availability-for-rosa) Hat.
# Sicurezza dell'infrastruttura in ROSA
In quanto servizio gestito, Servizio Red Hat OpenShift su AWS è protetto dalla sicurezza di rete AWS globale. Per informazioni sui servizi AWS di sicurezza e su come AWS protegge l'infrastruttura, consulta [AWS Cloud Security](https://aws.amazon.com/security). Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, vedi [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar — AWS Well-Architected* Framework.
Utilizzi chiamate API AWS pubblicate per accedere ROSA attraverso la rete. AWS I client devono supportare quanto segue:
+ Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.
Inoltre, le richieste devono essere firmate utilizzando un ID chiave di accesso e una chiave di accesso segreta associata a un principale IAM. In alternativa è possibile utilizzare [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/) (AWS STS) per generare credenziali di sicurezza temporanee per sottoscrivere le richieste.
## Isolamento della rete di cluster
I tecnici di Red Hat Site Reliability (SREs) sono responsabili della gestione continua e della sicurezza di rete del cluster e della piattaforma applicativa sottostante. Per ulteriori informazioni sulle responsabilità di Red Hat per ROSA, consulta[Panoramica delle responsabilità per ROSA](rosa-responsibilities.md).
Quando si crea un nuovo cluster, ROSA offre la possibilità di creare un endpoint e un percorso applicativo del server API Kubernetes pubblico o un endpoint e un percorso applicativo dell'API Kubernetes privati. Questa connessione viene utilizzata per comunicare con il cluster (utilizzando strumenti di OpenShift gestione come ROSA CLI e CLI OpenShift ). Una connessione privata consente a tutte le comunicazioni tra i tuoi nodi e il server API di rimanere all'interno del tuo VPC. Se abiliti l'accesso privato al server API e ai percorsi delle applicazioni, devi utilizzare un VPC esistente e connettere il VPC AWS PrivateLink al servizio di backend. OpenShift
L'accesso al server dell'API Kubernetes è protetto utilizzando una combinazione di () e il controllo degli accessi basato sui ruoli AWS Identity and Access Management (RBAC IAM) di Kubernetes nativo. [Per ulteriori informazioni su Kubernetes RBAC, consulta Using RBAC Authorization nella documentazione di Kubernetes.](https://kubernetes.io/docs/reference/access-authn-authz/rbac/)
ROSA consente di creare percorsi applicativi sicuri utilizzando diversi tipi di terminazione TLS per fornire certificati al client. Per maggiori informazioni, consulta [Percorsi protetti nella documentazione di Red](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/networking/configuring-routes#configuring-default-certificate) Hat.
Se crei un ROSA cluster in un VPC esistente, specifichi le sottoreti VPC e le zone di disponibilità da utilizzare per il cluster. È inoltre possibile definire gli intervalli CIDR da utilizzare per la rete di cluster e abbinare questi intervalli CIDR alle sottoreti VPC. Per ulteriori informazioni, consultate le [definizioni degli intervalli CIDR](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/networking/cidr-range-definitions) nella documentazione di Red Hat.
Per i cluster che utilizzano l'endpoint API pubblico, è ROSA necessario che il VPC sia configurato con una sottorete pubblica e privata per ogni zona di disponibilità in cui si desidera distribuire il cluster. Per i cluster che utilizzano l'endpoint API privato, sono necessarie solo sottoreti private.
Se utilizzi un VPC esistente, puoi configurare i ROSA cluster in modo che utilizzino un server proxy HTTP o HTTPS durante o dopo la creazione del cluster per crittografare il traffico web del cluster, aggiungendo un altro livello di sicurezza per i tuoi dati. Quando abiliti un proxy, ai componenti principali del cluster viene negato l'accesso diretto a Internet. Il proxy non nega l'accesso a Internet per i carichi di lavoro degli utenti. Per maggiori informazioni, consultate [Configurazione di un proxy a livello di cluster](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/networking/configuring-a-cluster-wide-proxy) nella documentazione di Red Hat.
## Isolamento della rete Pod
Se sei un amministratore del cluster, puoi definire politiche di rete a livello di pod che limitino il traffico ai pod del ROSA cluster.