本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS 的 受管政策 ROSA
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies),以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新 AWS 受管政策中定義的許可,則更新會影響政策連接的所有主體身分 (使用者、群組和角色)。當新的 AWS 服務 啟動或新的 API 操作可供現有服務使用時, AWS 最有可能更新 AWS 受管政策。如需詳細資訊,請參閱* IAM 《 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## AWS 受管政策:ROSAManageSubscription
您可以將`ROSAManageSubscription`政策連接至 IAM 實體。在 ROSA 主控台 ROSA 中 AWS 啟用 之前,您必須先將此政策連接至 IAM 角色。
此政策會授予您管理 ROSA 訂閱所需的 AWS Marketplace 許可。
**許可詳細資訊**
此政策包含以下許可。
+ `aws-marketplace:Subscribe` - 准許訂閱 AWS Marketplace 產品 ROSA。
+ `aws-marketplace:Unsubscribe` - 允許主體移除 AWS Marketplace 產品的訂閱。
+ `aws-marketplace:ViewSubscriptions` - 允許主體從中檢視訂閱 AWS Marketplace。這是必要的,以便 IAM 委託人可以檢視可用的 AWS Marketplace 訂閱。
若要檢視完整的 JSON 政策文件,請參閱《 * AWS 受管政策參考指南*》中的 [ROSAManageSubscription](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAManageSubscription.html)。
## 具有 HCP 帳戶政策的 ROSA
本節提供具有託管控制平面 (HCP) 的 ROSA 所需的帳戶政策詳細資訊。這些 AWS 受管政策會新增 ROSA 搭配 HCP IAM 角色使用的許可。Red Hat 網站可靠性工程 (SRE) 技術支援、叢集安裝以及控制平面和運算功能需要 許可。
**注意**
AWS 受管政策旨在供 ROSA 搭配託管控制平面 (HCP) 使用。ROSA 傳統叢集使用客戶受管 IAM 政策。如需 ROSA 傳統政策的詳細資訊,請參閱 [ROSA 傳統帳戶政策](security-iam-rosa-classic-account-policies.md)和 [ROSA 傳統運算子政策](security-iam-rosa-classic-operator-policies.md)。
### AWS 受管政策:ROSAWorkerInstancePolicy
您可以將 `ROSAWorkerInstancePolicy`連接到您的 IAM 實體。在建立叢集之前,您必須連接具有此政策的 IAM 角色。ROSA 服務 AWS 服務 會代表您呼叫其他 。他們會這樣做來管理您用於每個叢集的資源。
**許可詳細資訊**
此政策包含下列許可,允許 ROSA 工作者節點完成下列任務:
+ `ec2` — 在 ROSA 叢集工作者節點生命週期管理中評估 AWS 區域 和 Amazon EC2 執行個體詳細資訊。
+ `ecr` - 評估並從 ROSA 受管 ECR 儲存庫取得叢集安裝和工作者節點生命週期管理所需的映像。
若要檢視完整的 JSON 政策文件,請參閱《 * AWS 受管政策參考指南*》中的 [ROSAWorkerInstancePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAWorkerInstancePolicy.html)。
### AWS 受管政策:ROSASRESupportPolicy
您可以將 `ROSASRESupportPolicy` 連接到 IAM 實體。
使用託管控制平面叢集建立 ROSA 之前,您必須先將此政策連接至 IAM 角色。此政策將必要的許可授予 Red Hat 網站可靠性工程師 (SREs),以直接觀察、診斷和支援與 ROSA 叢集相關聯的 AWS 資源,包括變更 ROSA 叢集節點狀態的能力。
**許可詳細資訊**
此政策包含下列許可,允許 Red Hat SREs完成下列任務:
+ `cloudtrail` — 讀取與叢集相關的 AWS CloudTrail 事件和線索。
+ `cloudwatch` — 讀取與叢集相關的 Amazon CloudWatch 指標。
+ `ec2` — 讀取、描述和檢閱與叢集運作狀態相關的 Amazon EC2 元件,例如安全群組、VPC 端點連線和磁碟區狀態。啟動、停止、重新啟動和終止 Amazon EC2 執行個體。
+ `elasticloadbalancing` — 讀取、描述和檢閱與叢集運作狀態相關的 Elastic Load Balancing 參數。
+ `iam` — 評估與叢集運作狀態相關的 IAM 角色。
+ `route53` — 檢閱與叢集運作狀態相關的 DNS 設定。
+ `sts` — `DecodeAuthorizationMessage` — 讀取 IAM 訊息以進行除錯。
若要檢視完整的 JSON 政策文件,請參閱《 * AWS 受管政策參考指南*》中的 [ROSASRESupportPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSASRESupportPolicy.html)。
### AWS 受管政策:ROSAInstallerPolicy
您可以將 `ROSAInstallerPolicy`連接到您的 IAM 實體。
使用託管控制平面叢集建立 ROSA 之前,您必須先將此政策連接至名為 的 IAM 角色`[Prefix]-ROSA-Worker-Role`。此政策允許實體將遵循 `[Prefix]-ROSA-Worker-Role` 模式的任何角色新增至執行個體描述檔。此政策會將必要的許可授予安裝程式,以管理支援 ROSA 叢集安裝 AWS 的資源。
**許可詳細資訊**
此政策包含下列許可,允許安裝程式完成下列任務:
+ `ec2` — 使用 Red Hat AWS 帳戶 擁有和管理之 中託管AMIs 執行 Amazon EC2 執行個體。描述與 Amazon EC2 節點相關聯的 Amazon EC2 執行個體、磁碟區和網路資源。需要此許可,Kubernetes 控制平面才能將執行個體加入叢集,而且叢集可以評估其中的存在 Amazon VPC。檢查 Amazon EC2 容量保留,以支援 ROSA 中的新容量保留功能。使用符合 的標籤金鑰在子網路上標記和刪除標籤`"kubernetes.io/cluster/*"`。這是必要的,以確保用於叢集傳入的負載平衡器僅在適用的子網路中建立,並管理 Kubernetes 叢集識別標籤。
+ `elasticloadbalancing` — 將負載平衡器新增至叢集上的目標節點。從叢集上的目標節點移除負載平衡器。需要此許可,以便 Kubernetes 控制平面可以動態佈建 Kubernetes 服務和 OpenShift 應用程式服務請求的負載平衡器。
+ `kms` — 讀取 AWS KMS 金鑰、建立和管理授予 Amazon EC2,並傳回唯一的對稱資料金鑰以供 外部使用 AWS KMS。在叢集建立時啟用加密時,這是使用`etcd`加密`etcd`資料的必要項目。
+ `iam` — 驗證 IAM 角色和政策。動態佈建和管理與叢集相關的 Amazon EC2 執行個體描述檔。使用 `iam:TagInstanceProfile`許可將標籤新增至 IAM 執行個體描述檔。當叢集安裝因缺少客戶指定的叢集 OIDC 供應商而失敗時,提供安裝程式錯誤訊息。
+ `route53` — 管理建立叢集所需的 Route 53 資源。
+ `servicequotas` — 評估建立叢集所需的服務配額。
+ `sts` — 建立 ROSA 元件的臨時 AWS STS 登入資料。擔任用於建立叢集的登入資料。
+ `secretsmanager` — 讀取秘密值,以安全地允許客戶受管的 OIDC 組態做為叢集佈建的一部分。
若要檢視完整的 JSON 政策文件,請參閱《 * AWS 受管政策參考指南*》中的 [ROSAInstallerPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAInstallerPolicy.html)。
### AWS 受管政策:ROSASharedVPCRoute53Policy
您可以將 `ROSASharedVPCRoute53Policy`連接到您的 IAM 實體。您必須將此政策連接至 IAM 角色,以允許 ROSA 叢集在共用 VPC AWS 服務 環境中呼叫其他 。
此政策允許 ROSA 安裝程式設定 Route 53 記錄。此政策旨在用於共用 VPC,並提供針對共用 VPC 使用案例量身打造的 Route 53 許可子集。
**許可詳細資訊**
此政策包含下列許可,允許 ROSA 安裝程式完成下列任務:
+ `route53` — 讀取 DNS 區域資訊和現有 DNS 記錄,以了解目前的 DNS 組態。建立、修改和刪除 DNS 記錄,但僅適用於特定 ROSA 相關網域模式,包括 `.hypershift.local`、`.openshiftapps.com`、`.devshift.org`、 `.openshiftusgov.com`和 `.devshiftusgov.com`。新增、修改或移除 Route 53 資源上的標籤,以進行資源管理和組織。
+ `tag` — 根據資源的標籤探索和列出 AWS 資源,這有助於識別由 ROSA 管理的資源。
若要檢視政策的詳細資訊,包括最新版本的 JSON 政策文件,請參閱《 * AWS 受管政策參考指南*》中的 [ROSASharedVPCRoute53Policy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSASharedVPCRoute53Policy.html)。
### AWS 受管政策:ROSASharedVPCEndpointPolicy
您可以將 `ROSASharedVPCEndpointPolicy`連接到您的 IAM 實體。您必須將此政策連接至 IAM 角色,以允許 ROSA 叢集在共用 VPC AWS 服務 環境中呼叫其他 。
此政策允許 ROSA 安裝程式在共用 VPC 環境中設定 VPC 端點和安全群組。
**許可詳細資訊**
此政策包含下列許可,允許 ROSA 安裝程式完成下列任務:
+ `ec2` — 描述 VPC 相關資源的唯讀許可,VPCs 和安全群組,以了解網路環境。建立、刪除和修改具有標籤型限制的安全群組,讓 ROSA 能夠建立和管理叢集聯網的安全群組,同時將操作限制為僅 ROSA 標記的資源。建立、修改和刪除具有標籤型限制的 VPC 端點,允許 ROSA 建立和管理 VPC 端點,以便在共用 VPC AWS 服務 環境中連線至 。在建立期間將標籤套用至新建立的 VPC 端點和安全群組,以進行適當的資源識別和管理。
若要檢視政策的詳細資訊,包括最新版本的 JSON 政策文件,請參閱《 * AWS 受管政策參考指南*》中的 [ROSASharedVPCEndpointPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSASharedVPCEndpointPolicy.html)。
## 具有 HCP 運算子政策的 ROSA
本節提供有關具有託管控制平面 (HCP) 的 ROSA 所需的運算子政策的詳細資訊。您可以將這些 AWS 受管政策連接到搭配 HCP 使用 ROSA 所需的運算子角色。需要許可才能允許 OpenShift 運算子使用 HCP 叢集節點管理 ROSA。
**注意**
AWS 受管政策旨在供 ROSA 搭配託管控制平面 (HCP) 使用。ROSA 傳統叢集使用客戶受管 IAM 政策。如需 ROSA 傳統政策的詳細資訊,請參閱 [ROSA 傳統帳戶政策](security-iam-rosa-classic-account-policies.md)和 [ROSA 傳統運算子政策](security-iam-rosa-classic-operator-policies.md)。
### AWS 受管政策:ROSAAmazonEBSCSIDriverOperatorPolicy
您可以將 `ROSAAmazonEBSCSIDriverOperatorPolicy`連接到您的 IAM 實體。您必須將此政策連接至運算子 IAM 角色,以允許具有託管控制平面叢集的 ROSA 呼叫其他 AWS 服務。每個叢集都需要一組唯一的運算子角色。
此政策會將必要的許可授予 Amazon EBS CSI Driver Operator,以在 ROSA 叢集上安裝和維護 Amazon EBS CSI 驅動程式。如需 運算子的詳細資訊,請參閱 OpenShift GitHub 文件中的 [aws-ebs-csi-driver 運算](https://github.com/openshift/aws-ebs-csi-driver-operator#aws-ebs-csi-driver-operator)子。
**許可詳細資訊**
此政策包含下列許可,允許 Amazon EBS Driver Operator 完成下列任務:
+ `ec2` — 建立、修改、連接、分離和刪除連接到 Amazon EC2 執行個體的 Amazon EBS 磁碟區。建立和刪除 Amazon EBS 磁碟區快照,並列出 Amazon EC2 執行個體、磁碟區和快照。
若要檢視完整的 JSON 政策文件,請參閱《 * AWS 受管政策參考指南*》中的 [ROSAAmazonEBSCSIDriverOperatorPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAAmazonEBSCSIDriverOperatorPolicy.html)。
### AWS 受管政策:ROSAIngressOperatorPolicy
您可以將 `ROSAIngressOperatorPolicy`連接到您的 IAM 實體。您必須將此政策連接至運算子 IAM 角色,以允許具有託管控制平面叢集的 ROSA 呼叫其他 AWS 服務。每個叢集都需要一組唯一的運算子角色。
此政策會將必要的許可授予輸入運算子,以佈建和管理 ROSA 叢集的負載平衡器和 DNS 組態。政策允許讀取標籤值。然後,運算子會篩選 Route 53 資源的標籤值,以探索託管區域。如需 運算子的詳細資訊,請參閱 [OpenShift GitHub 文件中的 OpenShift 傳入運算](https://github.com/openshift/cluster-ingress-operator#openshift-ingress-operator)子。 OpenShift GitHub
**許可詳細資訊**
此政策包含下列許可,允許輸入運算子完成下列任務:
+ `elasticloadbalancing` — 描述佈建負載平衡器的狀態。
+ `route53` — 列出 Route 53 託管區域並編輯管理由 ROSA 叢集控制之 DNS 的記錄。
+ `tag` — 使用 `tag:GetResources`許可管理標記的資源。
若要檢視完整的 JSON 政策文件,請參閱《 * AWS 受管政策參考指南*》中的 [ROSAIngressOperatorPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAIngressOperatorPolicy.html)。
### AWS 受管政策:ROSAImageRegistryOperatorPolicy
您可以將 `ROSAImageRegistryOperatorPolicy`連接至您的 IAM 實體。您必須將此政策連接至運算子 IAM 角色,以允許具有託管控制平面叢集的 ROSA 呼叫其他 AWS 服務。每個叢集都需要一組唯一的運算子角色。
此政策會將必要的許可授予映像登錄運算子,以佈建和管理叢集 ROSA 內映像登錄檔和相依服務的資源,包括 S3。這是必要的,以便運算子可以安裝和維護 ROSA 叢集的內部登錄檔。如需 運算子的詳細資訊,請參閱 OpenShift GitHub 文件中的[映像登錄運算子](https://github.com/openshift/cluster-image-registry-operator#image-registry-operator)。
**許可詳細資訊**
此政策包含下列許可,允許 Image Registry Operator 完成下列動作:
+ `s3` — 管理和評估 Amazon S3 儲存貯體作為容器映像內容和叢集中繼資料的持久性儲存。
若要檢視完整的 JSON 政策文件,請參閱《 * AWS 受管政策參考指南*》中的 [ROSAImageRegistryOperatorPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAImageRegistryOperatorPolicy.html)。
### AWS 受管政策:ROSACloudNetworkConfigOperatorPolicy
您可以將 `ROSACloudNetworkConfigOperatorPolicy`連接到您的 IAM 實體。您必須將此政策連接至運算子 IAM 角色,以允許具有託管控制平面叢集的 ROSA 呼叫其他 AWS 服務。每個叢集都需要一組唯一的運算子角色。
此政策會將必要的許可授予 Cloud Network Config Controller Operator,以佈建和管理 ROSA 叢集聯網浮水印的聯網資源。運算子使用這些許可來管理 Amazon EC2 執行個體的私有 IP 地址,做為 ROSA 叢集的一部分。如需 運算子的詳細資訊,請參閱 OpenShift GitHub 文件中的 [Cloud-network-config-controller](https://github.com/openshift/cloud-network-config-controller#cloud-network-config-controller-cncc)。
**許可詳細資訊**
此政策包含下列許可,允許 Cloud Network Config Controller Operator 完成下列任務:
+ `ec2` — 讀取、指派和描述 ROSA 叢集中連接 Amazon EC2 執行個體、 Amazon VPC 子網路和彈性網路介面的組態。
若要檢視完整的 JSON 政策文件,請參閱《 * AWS 受管政策參考指南*》中的 [ROSACloudNetworkConfigOperatorPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSACloudNetworkConfigOperatorPolicy.html)。
### AWS 受管政策:ROSAKubeControllerPolicy
您可以將 `ROSAKubeControllerPolicy`連接到您的 IAM 實體。您必須將此政策連接至運算子 IAM 角色,以允許具有託管控制平面叢集的 ROSA 呼叫其他 AWS 服務。每個叢集都需要一組唯一的運算子角色。
此政策會授予 kube 控制器管理所需的許可 Amazon EC2 Elastic Load Balancing,以及具有託管控制平面叢集之 ROSA AWS KMS 的資源。如需此控制器的詳細資訊,請參閱 OpenShift 文件中的[控制器架構](https://hypershift-docs.netlify.app/reference/controller-architecture/)。
**許可詳細資訊**
此政策包含下列許可,允許 kube 控制器完成下列任務:
+ `ec2` — 建立、刪除標籤,並將標籤新增至 Amazon EC2 執行個體安全群組。將傳入規則新增至安全群組。描述可用區域、 Amazon EC2 執行個體、路由表、安全群組、VPCs和子網路。
+ `elasticloadbalancing` — 建立和管理負載平衡器及其政策。建立和管理負載平衡器接聽程式。向目標群組註冊和取消註冊目標,並管理目標群組。向負載平衡器註冊和取消註冊 Amazon EC2 執行個體,並將標籤新增至負載平衡器。
+ `kms` — 擷取 AWS KMS 金鑰的詳細資訊。在叢集建立時啟用加密時,這是使用`etcd`加密`etcd`資料的必要項目。
若要檢視完整的 JSON 政策文件,請參閱《 * AWS 受管政策參考指南*》中的 [ROSAKubeControllerPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAKubeControllerPolicy.html)。
### AWS 受管政策:ROSANodePoolManagementPolicy
您可以將 `ROSANodePoolManagementPolicy`連接到您的 IAM 實體。您必須將此政策連接至運算子 IAM 角色,以允許具有託管控制平面叢集的 ROSA 呼叫其他服務 AWS 。每個叢集都需要一組唯一的運算子角色。
此政策會將必要的許可授予 NodePool 控制器,以描述、執行和終止以工作者節點管理的 Amazon EC2 執行個體。此政策也授予許可,允許使用 AWS KMS 金鑰對工作者節點根磁碟區進行磁碟加密、標記連接至工作者節點的彈性網路介面,以及存取 Amazon EC2 容量預留。如需此控制器的詳細資訊,請參閱 OpenShift 文件中的[控制器架構](https://hypershift-docs.netlify.app/reference/controller-architecture/)。
**許可詳細資訊**
此政策包含下列許可,允許 NodePool 控制器完成下列任務:
+ `ec2` — 使用 Red Hat AWS 帳戶 擁有和管理之 中託管AMIs 執行 Amazon EC2 執行個體。在 ROSA 叢集中管理 EC2 生命週期。動態建立並整合工作者節點與 Elastic Load Balancing、 Amazon VPC Route 53 Amazon EBS、 和 Amazon EC2。存取和描述容量保留,以支援 ROSA 中的容量保留功能。
+ `iam` — Elastic Load Balancing 透過名為 的服務連結角色使用 `AWSServiceRoleForElasticLoadBalancing`。將角色指派給 Amazon EC2 執行個體描述檔。
+ `kms` — 讀取 AWS KMS 金鑰、建立和管理授予 Amazon EC2,並傳回唯一的對稱資料金鑰以供 外部使用 AWS KMS。這是允許工作者節點根磁碟區的磁碟加密的必要項目。
若要檢視完整的 JSON 政策文件,請參閱《 * AWS 受管政策參考指南*》中的 [ROSANodePoolManagementPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSANodePoolManagementPolicy.html)。
### AWS 受管政策:ROSAKMSProviderPolicy
您可以將 `ROSAKMSProviderPolicy`連接到您的 IAM 實體。您必須將此政策連接至運算子 IAM 角色,以允許具有託管控制平面叢集的 ROSA 呼叫其他 AWS 服務。每個叢集都需要一組唯一的運算子角色。
此政策會將必要的許可授予內建 AWS 加密提供者,以管理支援`etcd`資料加密的 AWS KMS 金鑰。此政策允許 Amazon EC2 使用 AWS 加密提供者提供的 KMS 金鑰來加密和解密`etcd`資料。如需此提供者的詳細資訊,請參閱 Kubernetes GitHub 文件中的[AWS 加密提供者](https://github.com/kubernetes-sigs/aws-encryption-provider#aws-encryption-provider)。
**許可詳細資訊**
此政策包含下列許可,允許 AWS 加密提供者完成下列任務:
+ `kms` — 加密、解密和擷取 AWS KMS 金鑰。在叢集建立時啟用加密時,這是使用`etcd`加密`etcd`資料的必要項目。
若要檢視完整的 JSON 政策文件,請參閱《 * AWS 受管政策參考指南*》中的 [ROSAKMSProviderPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAKMSProviderPolicy.html)。
### AWS 受管政策:ROSAControlPlaneOperatorPolicy
您可以將 `ROSAControlPlaneOperatorPolicy`連接到您的 IAM 實體。您必須將此政策連接至運算子 IAM 角色,以允許具有託管控制平面叢集的 ROSA 呼叫其他 AWS 服務。每個叢集都需要一組唯一的運算子角色。
此政策會授予控制平面運算子所需的許可,以使用託管控制平面叢集來管理 ROSA 的 Route 53 Amazon EC2 和資源。如需此運算子的詳細資訊,請參閱 OpenShift 文件中的[控制器架構](https://hypershift-docs.netlify.app/reference/controller-architecture/)。
**許可詳細資訊**
此政策包含下列許可,允許控制平面運算子完成下列任務:
+ `ec2` — 建立和管理 Amazon VPC 端點。
+ `route53` — 列出和變更 Route 53 記錄集,並列出託管區域。
若要檢視完整的 JSON 政策文件,請參閱《 * AWS 受管政策參考指南*》中的 [ROSAControlPlaneOperatorPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAControlPlaneOperatorPolicy.html)。
## ROSA AWS 受管政策的更新
檢視自此服務開始追蹤這些變更 ROSA 以來, AWS 受管政策更新的詳細資訊。如需有關此頁面變更的自動提醒,請訂閱 [文件歷史記錄](doc-history.md) 頁面的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| ROSANodePoolManagementPolicy — 已更新政策 | ROSA 已更新政策,以新增 Amazon EC2 容量保留的資源存取權。此變更可讓 NodePool 控制器存取和描述容量保留,以改善資源管理。如需詳細資訊,請參閱 [AWS 受管政策:ROSANodePoolManagementPolicy](#security-iam-awsmanpol-rosanodepoolmanagementpolicy)。 | 2025 年 9 月 3 日 |
| ROSASharedVPCEndpointPolicy — 新增了新政策 | ROSA 新增了新的政策,允許 ROSA 安裝程式在共用 VPC 環境中設定 VPC 端點和安全群組。此政策提供針對共用 VPC 使用案例量身打造的 EC2 許可子集。如需詳細資訊,請參閱 [AWS 受管政策:ROSASharedVPCEndpointPolicy](#security-iam-awsmanpol-rosasharedvpcendpointpolicy)。 | 2025 年 8 月 7 日 |
| ROSASharedVPCRoute53Policy — 新增的政策 | ROSA 新增了新的政策,以允許 ROSA 安裝程式在共用 VPC 環境中設定 Route 53 記錄。此政策提供針對共用 VPC 使用案例量身打造的 Route 53 許可子集。如需詳細資訊,請參閱 [AWS 受管政策:ROSASharedVPCRoute53Policy](#security-iam-awsmanpol-rosasharedvpcroute53policy)。 | 2025 年 8 月 7 日 |
| ROSAInstallerPolicy — 政策已更新 | ROSA 已更新政策,以允許 ROSA 安裝程式檢查 Amazon EC2 容量保留,以支援 ROSA 中的新容量保留功能。此更新也允許安裝程式使用標籤索引鍵比對來刪除子網路上的標籤`"kubernetes.io/cluster/*"`,以改善 Kubernetes 叢集標籤管理。如需詳細資訊,請參閱 [AWS 受管政策:ROSAInstallerPolicy](#security-iam-awsmanpol-rosainstallerpolicy)。 | 2025 年 8 月 7 日 |
| ROSAImageRegistryOperatorPolicy — 政策已更新 | ROSA 已更新政策,將許可範圍縮小至 S3 儲存貯體資源層級。此變更同時符合 AWS 商業和 GovCloud 區域的 ROSA 儲存需求。如需詳細資訊,請參閱 [AWS 受管政策:ROSAImageRegistryOperatorPolicy](#security-iam-awsmanpol-rosaimageregistryoperatorpolicy)。 | 2025 年 5 月 19 日 |
| ROSANodePoolManagementPolicy — 已更新政策 | ROSA 已更新政策,以允許標記連接到工作者節點的彈性網路界面。如需詳細資訊,請參閱 [AWS 受管政策:ROSANodePoolManagementPolicy](#security-iam-awsmanpol-rosanodepoolmanagementpolicy)。 | 2025 年 5 月 5 日 |
| ROSAImageRegistryOperatorPolicy — 政策已更新 | ROSA 已更新政策,允許 Red Hat OpenShift Image Registry Operator 在 AWS GovCloud 區域中佈建和管理 Amazon S3 儲存貯體和物件,以供 ROSA 叢集內映像登錄使用。此變更符合 AWS GovCloud 區域的 ROSA 儲存需求。如需詳細資訊,請參閱 [AWS 受管政策:ROSAImageRegistryOperatorPolicy](#security-iam-awsmanpol-rosaimageregistryoperatorpolicy)。 | 2025 年 4 月 16 日 |
| ROSAWorkerInstancePolicy — 政策已更新 | ROSA 已更新政策,允許工作者節點評估並從 ROSA 受管 ECR 儲存庫取得叢集安裝和工作者節點生命週期管理所需的映像。如需詳細資訊,請參閱 [AWS 受管政策:ROSAWorkerInstancePolicy](#security-iam-awsmanpol-rosaworkerinstancepolicy)。 | 2025 年 3 月 3 日 |
| ROSANodePoolManagementPolicy — 政策已更新 | ROSA 已更新政策,允許僅在請求包含標籤 時,才在 ec2:RunInstances 呼叫期間類似 EC2 執行個體地標記彈性網路介面`red-hat-managed: true`。這些許可是使用 HCP 4.17 叢集支援 ROSA 的必要許可。如需詳細資訊,請參閱 [AWS 受管政策:ROSANodePoolManagementPolicy](#security-iam-awsmanpol-rosanodepoolmanagementpolicy)。 | 2025 年 2 月 24 日 |
| ROSAAmazonEBSCSIDriverOperatorPolicy — 政策已更新 | ROSA 已更新政策以支援新的 Amazon EBS 快照授權 API。如需詳細資訊,請參閱 [AWS 受管政策:ROSAAmazonEBSCSIDriverOperatorPolicy](#security-iam-awsmanpol-rosaamazonebscsidriveroperatorpolicy)。 | 2025 年 1 月 17 日 |
| ROSANodePoolManagementPolicy — 政策已更新 | ROSA 已更新政策,允許 ROSA 節點集區管理員描述 DHCP 選項集,以設定適當的私有 DNS 名稱。如需詳細資訊,請參閱 [AWS 受管政策:ROSANodePoolManagementPolicy](#security-iam-awsmanpol-rosanodepoolmanagementpolicy)。 | 2024 年 5 月 2 日 |
| ROSAInstallerPolicy — 政策已更新 | ROSA 已更新政策,以允許 ROSA 安裝程式使用符合 的標籤金鑰將標籤新增至子網路`"kubernetes.io/cluster/*"`。如需詳細資訊,請參閱 [AWS 受管政策:ROSAInstallerPolicy](#security-iam-awsmanpol-rosainstallerpolicy)。 | 2024 年 4 月 24 日 |
| ROSASRESupportPolicy — 政策已更新 | ROSA 已更新政策,以允許 SRE 角色擷取已標記為 ROSA 之執行個體描述檔的相關資訊`red-hat-managed`。如需詳細資訊,請參閱 [AWS 受管政策:ROSASRESupportPolicy](#security-iam-awsmanpol-rosasresupportpolicy)。 | 2024 年 4 月 10 日 |
| ROSAInstallerPolicy — 政策已更新 | ROSA 已更新政策,以允許 ROSA 安裝程式驗證 的 AWS 受管政策 ROSA 是否連接到 使用 IAM 的角色 ROSA。此更新還允許安裝程式識別客戶受管政策是否已連接到 ROSA 角色。如需詳細資訊,請參閱 [AWS 受管政策:ROSAInstallerPolicy](#security-iam-awsmanpol-rosainstallerpolicy)。 | 2024 年 4 月 10 日 |
| ROSAInstallerPolicy — 政策已更新 | ROSA 已更新政策,允許服務在叢集安裝因缺少客戶指定的叢集 OIDC 供應商而失敗時提供安裝程式提醒訊息。此更新也允許服務擷取現有的 DNS 名稱伺服器,讓叢集佈建操作具有等冪性。如需詳細資訊,請參閱 [AWS 受管政策:ROSAInstallerPolicy](#security-iam-awsmanpol-rosainstallerpolicy)。 | 2024 年 1 月 26 日 |
| ROSASRESupportPolicy — 政策已更新 | ROSA 已更新政策,以允許服務使用 DescribeSecurityGroups API 在安全群組上執行讀取操作。如需詳細資訊,請參閱 [AWS 受管政策:ROSASRESupportPolicy](#security-iam-awsmanpol-rosasresupportpolicy)。 | 2024 年 1 月 22 日 |
| ROSAImageRegistryOperatorPolicy — 已更新政策 | ROSA 已更新政策,以允許映像登錄運算子對 14 個字元名稱區域中的 Amazon S3 儲存貯體採取動作。如需詳細資訊,請參閱 [AWS 受管政策:ROSAImageRegistryOperatorPolicy](#security-iam-awsmanpol-rosaimageregistryoperatorpolicy)。 | 2023 年 12 月 12 日 |
| ROSAKubeControllerPolicy — 政策已更新 | ROSA 已更新政策,以允許 kube-controller-manager 描述可用區域、 Amazon EC2 執行個體、路由表、安全群組、VPCs和子網路。如需詳細資訊,請參閱 [AWS 受管政策:ROSAKubeControllerPolicy](#security-iam-awsmanpol-rosakubecontrollerpolicy)。 | 2023 年 10 月 16 日 |
| ROSAManageSubscription — 政策已更新 | ROSA 已更新政策,新增具有託管控制平面 ProductId 的 ROSA。如需詳細資訊,請參閱 [AWS 受管政策:ROSAManageSubscription](#security-iam-awsmanpol-rosamanagesubscription)。 | 2023 年 8 月 1 日 |
| ROSAKubeControllerPolicy — 政策已更新 | ROSA 已更新政策,以允許 kube-controller-manager 將 Network Load Balancer 建立為 Kubernetes 服務負載平衡器。Network Load Balancer 提供更大的能力來處理揮發性工作負載,並支援負載平衡器的靜態 IP 地址。如需詳細資訊,請參閱 [AWS 受管政策:ROSAKubeControllerPolicy](#security-iam-awsmanpol-rosakubecontrollerpolicy)。 | 2023 年 7 月 13 日 |
| ROSANodePoolManagementPolicy — 新增政策 | ROSA 新增了新的政策,以允許 NodePool 控制器描述、執行和終止以工作者節點管理的 Amazon EC2 執行個體。此政策也會使用 AWS KMS 金鑰啟用工作者節點根磁碟區的磁碟加密。如需詳細資訊,請參閱 [AWS 受管政策:ROSANodePoolManagementPolicy](#security-iam-awsmanpol-rosanodepoolmanagementpolicy)。 | 2023 年 6 月 8 日 |
| ROSAInstallerPolicy — 新增政策 | ROSA 新增了新的政策,以允許安裝程式管理支援叢集安裝 AWS 的資源。如需詳細資訊,請參閱 [AWS 受管政策:ROSAInstallerPolicy](#security-iam-awsmanpol-rosainstallerpolicy)。 | 2023 年 6 月 6 日 |
| ROSASRESupportPolicy — 新增政策 | ROSA 新增了新的政策,以允許 Red Hat SREs直接觀察、診斷和支援與 ROSA 叢集相關聯的 AWS 資源,包括變更 ROSA 叢集節點狀態的能力。如需詳細資訊,請參閱 [AWS 受管政策:ROSASRESupportPolicy](#security-iam-awsmanpol-rosasresupportpolicy)。 | 2023 年 6 月 1 日 |
| ROSAKMSProviderPolicy — 新增政策 | ROSA 新增了新的政策,以允許內建 AWS 加密提供者管理 AWS KMS 金鑰以支援加密的資料加密。如需詳細資訊,請參閱 [AWS 受管政策:ROSAKMSProviderPolicy](#security-iam-awsmanpol-rosakmsproviderpolicy)。 | 2023 年 4 月 27 日 |
| ROSAKubeControllerPolicy — 新增政策 | ROSA 新增了新的政策,以允許 kube 控制器管理 Elastic Load Balancing Amazon EC2,以及 ROSA 具有託管控制平面叢集之 的 AWS KMS 資源。如需詳細資訊,請參閱 [AWS 受管政策:ROSAKubeControllerPolicy](#security-iam-awsmanpol-rosakubecontrollerpolicy)。 | 2023 年 4 月 27 日 |
| ROSAImageRegistryOperatorPolicy — 新增了新政策 | ROSA 新增了新的政策,以允許映像登錄運算子佈建和管理叢集 ROSA 內映像登錄和相依服務的資源,包括 S3。如需詳細資訊,請參閱 [AWS 受管政策:ROSAImageRegistryOperatorPolicy](#security-iam-awsmanpol-rosaimageregistryoperatorpolicy)。 | 2023 年 4 月 27 日 |
| ROSAControlPlaneOperatorPolicy — 新增政策 | ROSA 新增了新的政策,以允許控制平面運算子 ROSA 使用託管控制平面叢集來管理 的 Route 53 Amazon EC2 和資源。如需詳細資訊,請參閱 [AWS 受管政策:ROSAControlPlaneOperatorPolicy](#security-iam-awsmanpol-rosacontrolplaneoperatorpolicy)。 | 2023 年 4 月 24 日 |
| ROSACloudNetworkConfigOperatorPolicy — 新增政策 | ROSA 新增了新的政策,以允許雲端網路組態控制器運算子佈建和管理 ROSA 叢集聯網浮水印的網路資源。如需詳細資訊,請參閱 [AWS 受管政策:ROSACloudNetworkConfigOperatorPolicy](#security-iam-awsmanpol-rosacloudnetworkconfigoperatorpolicy)。 | 2023 年 4 月 20 日 |
| ROSAIngressOperatorPolicy — 新增政策 | ROSA 新增了新的政策,以允許輸入運算子佈建和管理 ROSA 叢集的負載平衡器和 DNS 組態。如需詳細資訊,請參閱 [AWS 受管政策:ROSAIngressOperatorPolicy](#security-iam-awsmanpol-rosaingressoperatorpolicy)。 | 2023 年 4 月 20 日 |
| ROSAAmazonEBSCSIDriverOperatorPolicy — 新增政策 | ROSA 新增了新的政策,以允許 Amazon EBS CSI Driver Operator 在 ROSA 叢集上安裝和維護 Amazon EBS CSI 驅動程式。如需詳細資訊,請參閱 [AWS 受管政策:ROSAAmazonEBSCSIDriverOperatorPolicy](#security-iam-awsmanpol-rosaamazonebscsidriveroperatorpolicy)。 | 2023 年 4 月 20 日 |
| ROSAWorkerInstancePolicy — 新增的政策 | ROSA 新增了新的政策,以允許服務管理叢集資源。如需詳細資訊,請參閱 [AWS 受管政策:ROSAWorkerInstancePolicy](#security-iam-awsmanpol-rosaworkerinstancepolicy)。 | 2023 年 4 月 20 日 |
| ROSAManageSubscription — 新增的政策 | ROSA 新增了新的政策,以授予管理 ROSA 訂閱所需的 AWS Marketplace 許可。如需詳細資訊,請參閱 [AWS 受管政策:ROSAManageSubscription](#security-iam-awsmanpol-rosamanagesubscription)。 | 2022 年 4 月 11 日 |
| Red Hat OpenShift Service on AWS 開始追蹤變更 | Red Hat OpenShift Service on AWS 已開始追蹤其 AWS 受管政策的變更。 | 2022 年 3 月 2 日 |