本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 中的安全性 ROSA
的雲端安全性 AWS 是最高優先順序。身為 AWS 客戶,您可以受益於資料中心和網路架構,該架構專為符合最安全敏感組織的需求而建置。
安全性是 AWS 與您之間的共同責任。[共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)將此描述為雲端本身的安全和雲端內部的安全:
+ **雲端的安全性** – AWS 負責保護在 中執行 AWS 服務的基礎設施 AWS 雲端。 AWS 也為您提供可安全使用的服務。在 [AWS 合規計劃](https://aws.amazon.com/compliance/programs/)中,第三方稽核員會定期測試並驗證我們的安全功效。若要了解適用的合規計劃 ROSA,請參閱[AWS 服務 合規計劃範圍中的](https://aws.amazon.com/compliance/services-in-scope/) 。
+ **雲端的安全性** – 您的責任取決於您使用 AWS 服務 的 。您也必須對其他因素負責,包括資料的機密性、您公司的要求和適用法律和法規。
本文件可協助您了解如何在使用 時套用共同責任模型 ROSA。它說明如何設定 ROSA 以符合您的安全與合規目標。您也會了解如何使用其他 AWS 服務 來協助您監控和保護 ROSA 資源。
**Topics**
+ [資料保護](data-protection.md)
+ [身分與存取管理](security-iam.md)
+ [恢復能力](disaster-recovery-resiliency.md)
+ [基礎設施安全性](infrastructure-security.md)
# 中的資料保護 ROSA
[的責任概觀 ROSA](rosa-responsibilities.md) 文件和[AWS 共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)定義 中的資料保護 ROSA。 AWS 負責保護執行所有 的全域基礎設施 AWS 雲端。Red Hat 負責保護叢集基礎設施和基礎服務平台。客戶負責控制在此基礎設施上託管的內容。此內容包含 AWS 服務 您使用之 的安全組態和管理任務。如需有關資料隱私權的詳細資訊,請參閱[資料隱私權常見問答集](https://aws.amazon.com/compliance/data-privacy-faq)。如需歐洲資料保護的相關資訊,請參閱安全部落格上的[AWS 共同責任模型和 GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr) 部落格文章。 * AWS *
基於資料保護目的,我們建議您保護 AWS 帳戶 登入資料,並使用 AWS Identity and Access Management () 設定個別使用者IAM。如此一來,每個使用者都只會獲得授與完成其任務所必須的許可。我們也建議您採用下列方式保護資料:
+ 每個帳戶均要使用多重要素驗證 (MFA)。
+ 使用 SSL/TLS 與 AWS 資源通訊。我們需要 TLS 1.2 並建議使用 TLS 1.3。
+ 使用 設定 API 和使用者活動記錄 AWS CloudTrail。
+ 使用 AWS 加密解決方案,以及其中的所有預設安全控制 AWS 服務。
+ 使用進階受管安全服務 Amazon Macie,例如 ,協助探索和保護存放在其中的敏感資料 Amazon S3。
+ 如果您在 AWS 透過命令列界面或 API 存取 時需要 FIPS 140-2 驗證的密碼編譯模組,請使用 FIPS 端點。如需有關 FIPS 和 FIPS 端點的更多相關資訊,請參閱[聯邦資訊處理標準 (FIPS) 140-2 概觀](https://aws.amazon.com/compliance/fips/)。
我們強烈建議您絕對不要將客戶帳戶號碼等敏感的識別資訊,放在自由格式的欄位中,例如**名稱**欄位。這包括當您 AWS 服務 使用 ROSA 或使用主控台、API AWS CLI或其他 AWS SDKs 時。您輸入的任何資料 ROSA 或其他 服務都可能被選入診斷日誌中。當您提供外部伺服器的 URL 時,請勿在驗證您對該伺服器請求的 URL 中包含登入資料資訊。
**Topics**
+ [資料加密](data-protection-encryption.md)
# 使用加密保護資料
資料保護是指在傳輸中 (進出時 ROSA) 和靜態 (存放在 AWS 資料中心的磁碟上) 時保護資料。
Red Hat OpenShift Service on AWS 為 ROSA 控制平面、基礎設施和工作者節點提供連接至 Amazon EC2 執行個體的 Amazon Elastic Block Store (Amazon EBS) 儲存磁碟區安全存取,以及為持久性儲存提供 Kubernetes 持久性磁碟區。 ROSA 會加密靜態和傳輸中的磁碟區資料,並使用 AWS Key Management Service (AWS KMS) 協助保護您的加密資料。服務使用 Amazon S3 儲存容器映像登錄檔,依預設會進行靜態加密。
**重要**
因為 ROSA 是受管服務, AWS 而 Red Hat 會管理 ROSA 使用的基礎設施。客戶不應嘗試從 AWS 主控台或 CLI 手動關閉 ROSA 使用的 Amazon EC2 執行個體。此動作可能會導致客戶資料遺失。
## Amazon EBS後端儲存磁碟區的資料加密
Red Hat OpenShift Service on AWS 使用 Kubernetes 持久性磁碟區 (PV) 架構,允許叢集管理員佈建具有持久性儲存的叢集。持久性磁碟區,以及控制平面、基礎設施和工作者節點,都由連接至 Amazon EC2 執行個體的 Amazon Elastic Block Store (Amazon EBS) 儲存磁碟區提供支援。
對於 支援的 ROSA 持久性磁碟區和節點 Amazon EBS,加密操作會在託管 EC2 執行個體的伺服器上進行,以確保靜態資料和執行個體與其連接儲存體之間傳輸中資料的安全性。如需詳細資訊,請參閱* Amazon EC2 《 使用者指南*》中的[Amazon EBS 加密](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html)。
### Amazon EBS CSI 驅動程式和 Amazon EFS CSI 驅動程式的資料加密
ROSA 預設為使用 Amazon EBS CSI 驅動程式佈建 Amazon EBS 儲存。根據預設, Amazon EBS CSI 驅動程式和 Amazon EBS CSI 驅動程式運算子會安裝在 `openshift-cluster-csi-drivers` 命名空間中的叢集上。 Amazon EBS CSI 驅動程式和運算子可讓您動態佈建持久性磁碟區並建立磁碟區快照。
ROSA 也能夠使用 Amazon EFS CSI 驅動程式和 Amazon EFS CSI 驅動程式運算子佈建持久性磁碟區。 Amazon EFS 驅動程式和運算子也可讓您在 Pod 之間或與 Kubernetes 內外的其他應用程式共用檔案系統資料。
CSI 驅動程式和 Amazon EBS Amazon EFS CSI 驅動程式的磁碟區資料在傳輸中都會受到保護。如需詳細資訊,請參閱 Red Hat 文件中的[使用容器儲存界面 (CSI)](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/storage/using-container-storage-interface-csi)。
**重要**
使用 Amazon EFS CSI 驅動程式動態佈建 ROSA 持久性磁碟區時,評估檔案系統許可時, Amazon EFS 請考慮存取點的使用者 ID、群組 ID (GID) 和次要群組 IDs。 會將使用者和群組 IDs Amazon EFS 取代為存取點上具有使用者和群組 IDs的檔案,並忽略 NFS 用戶端 IDs。因此, 會無 Amazon EFS 提示地忽略`fsGroup`設定。 ROSA 無法使用 取代檔案GIDs`fsGroup`。任何可以存取掛載 Amazon EFS 存取點的 Pod 都可以存取磁碟區上的任何檔案。如需詳細資訊,請參閱* Amazon EFS 《 使用者指南*》中的[使用 Amazon EFS 存取點](https://docs.aws.amazon.com/efs/latest/ug/efs-access-points.html)。
### etcd 加密
ROSA 提供在叢集建立期間啟用`etcd`磁碟區內`etcd`金鑰值加密的選項,新增額外的加密層。`etcd` 加密後,您將產生大約 20% 的額外效能額外負荷。建議您只有在使用案例特別需要加密時,才啟用`etcd`加密。如需詳細資訊,請參閱 ROSA 服務定義中的[加密。](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/introduction_to_rosa/policies-and-service-definition#rosa-sdpolicy-etcd-encryption_rosa-service-definition)
### 金鑰管理
ROSA 使用 KMS keys 為客戶應用程式安全地管理控制平面、基礎設施和工作者資料磁碟區和持久性磁碟區。在叢集建立期間,您可以選擇使用 KMS key 提供的預設 AWS 受管金鑰 Amazon EBS,或指定您自己的客戶受管金鑰。如需詳細資訊,請參閱[使用 KMS 的資料加密](data-protection-key-management.md)。
## 內建映像登錄檔的資料加密
ROSA 提供內建的容器映像登錄檔,透過儲存 Amazon S3 貯體儲存來存放、擷取和共用容器映像。登錄檔是由 OpenShift Image Registry Operator 設定和管理。它提供out-of-the-box解決方案,讓使用者管理執行工作負載的映像,並在現有的叢集基礎設施上執行。如需詳細資訊,請參閱 Red Hat 文件中的[登錄](https://docs.redhat.com/en/documentation/red_hat_openshift_service_on_aws/4/html/registry/index)檔。
ROSA 提供公有和私有映像登錄檔。對於企業應用程式,我們建議您使用私有登錄檔來保護映像不受未經授權的使用者使用。為了保護登錄檔的靜態資料, 預設 ROSA 會使用伺服器端加密搭配 Amazon S3 受管金鑰 (SSE-S3)。這不需要您採取任何動作,且不收取額外費用。如需詳細資訊,請參閱* Amazon S3 《 使用者指南*》中的[使用伺服器端加密搭配 Amazon S3 受管加密金鑰 (SSE-S3) 保護資料](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)。
ROSA 使用 Transport Layer Security (TLS) 通訊協定來保護傳入和傳出映像登錄檔的資料。如需詳細資訊,請參閱 Red Hat 文件中的[登錄](https://docs.redhat.com/en/documentation/red_hat_openshift_service_on_aws/4/html/registry/index)檔。
## 網際網路流量隱私權
Red Hat OpenShift Service on AWS use Amazon Virtual Private Cloud (Amazon VPC) 在 ROSA 叢集中的資源之間建立邊界,並控制它們、內部部署網路和網際網路之間的流量。如需 Amazon VPC 安全性的詳細資訊,請參閱* Amazon VPC 《 使用者指南*》中的 [中的網際網路流量隱私權 Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html)。
在 VPC 中,您可以將 ROSA 叢集設定為使用 HTTP 或 HTTPS 代理伺服器來拒絕直接網際網路存取。如果您是叢集管理員,也可以在 Pod 層級定義網路政策,將網際網路流量限制為 ROSA 叢集中的 Pod。如需詳細資訊,請參閱[中的基礎設施安全 ROSA](infrastructure-security.md)。
# 使用 KMS 的資料加密
ROSA 使用 AWS KMS 安全地管理加密資料的金鑰。根據預設,控制平面、基礎設施和工作者節點磁碟區會使用 KMS key 提供的 AWS 受管 進行加密 Amazon EBS。這 KMS key 具有別名 `aws/ebs`。使用預設 gp3 儲存類別的持久性磁碟區也會預設使用此項目加密 KMS key。
新建立的 ROSA 叢集設定為使用預設 gp3 儲存類別來加密持久性磁碟區。只有在儲存類別設定為加密時,才能使用任何其他儲存類別建立的持久性磁碟區才會加密。如需 ROSA 預先建置儲存類別的詳細資訊,請參閱 Red Hat 文件中的[設定持久性儲存](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/storage/configuring-persistent-storage#persistent-storage-aws)。
在叢集建立期間,您可以選擇使用預設 Amazon EBS提供的金鑰來加密叢集中的持久性磁碟區,或指定您自己的客戶受管對稱 KMS key。如需建立金鑰的詳細資訊,請參閱《 * AWS KMS 開發人員指南*》中的[建立對稱加密 KMS 金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk)。
您也可以透過定義 來加密叢集內個別容器的持久性磁碟區 KMS key。當您在部署到 時有明確的合規和安全指導方針時,這很有用 AWS。如需詳細資訊,請參閱 Red Hat 文件中的[AWS 使用 在 上加密容器持久性磁碟區 KMS key](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/storage/configuring-persistent-storage#aws-container-persistent-volumes-encrypt_persistent-storage-aws)。
使用您自己的 加密持久性磁碟區時,應考慮下列事項 KMS keys:
+ 當您搭配自己的 KMS 加密時 KMS key,金鑰必須與 AWS 區域 叢集位於相同的 中。
+ 建立和使用您自己的 會產生相關費用 KMS keys。如需詳細資訊,請參閱 [AWS Key Management Service 定價](https://aws.amazon.com/kms/pricing/)。
# 的身分和存取管理 ROSA
AWS Identity and Access Management (IAM) 是 AWS 服務 ,可協助管理員安全地控制對 AWS 資源的存取。 IAM 管理員可控制誰可以經過*身分驗證 *(登入) 和*授權* (具有許可) 來使用 ROSA 資源。 IAM 是 AWS 服務 您可以免費使用的 。
**Topics**
+ [目標對象](#security-iam-audience)
+ [使用身分驗證](#security-iam-authentication)
+ [使用政策管理存取權](#security-iam-access-manage)
+ [ROSA 身分型政策範例](security-iam-id-based-policy-examples.md)
+ [AWS 的 受管政策 ROSA](security-iam-awsmanpol.md)
+ [對 ROSA 身分和存取進行故障診斷](security-iam-troubleshoot.md)
## 目標對象
您的使用方式 AWS Identity and Access Management (IAM) 會有所不同,取決於您所做的工作 ROSA。
**服務使用者** - 如果您使用 ROSA 服務來執行任務,您的管理員會為您提供所需的登入資料和許可。當您使用更多 ROSA 功能來執行工作時,您可能需要額外的許可。了解存取許可的管理方式可協助您向管理員請求正確的許可。如果您無法存取 中的功能 ROSA,請參閱 [對 ROSA 身分和存取進行故障診斷](security-iam-troubleshoot.md)。
**服務管理員** - 如果您負責公司 ROSA 的資源,您可能擁有 的完整存取權 ROSA。您的任務是判斷服務使用者應存取哪些 ROSA 功能和資源。然後,您必須向 IAM 管理員提交請求,以變更服務使用者的許可。檢閱此頁面上的資訊,以了解 的基本概念 IAM。
** IAM 管理員** - 如果您是 IAM 管理員,建議您了解用於管理 存取的政策詳細資訊 ROSA。若要檢視您可以在 中使用的以 ROSA 身分為基礎的政策範例 IAM,請參閱 [ROSA 身分型政策範例](security-iam-id-based-policy-examples.md)。
## 使用身分驗證
身分驗證是您 AWS 使用身分憑證登入 的方式。您必須擔任 IAM 角色,以 AWS 帳戶 根使用者 IAM 使用者、 或 身分*進行身分驗證* (登入 AWS)。
您可以使用透過身分來源提供的登入資料,以聯合身分 AWS 的形式登入 。 AWS IAM Identity Center (IAM Identity Center) 使用者、您公司的單一登入身分驗證,以及您的 Google 或 Facebook 登入資料,都是聯合身分的範例。當您以聯合身分身分登入時,您的管理員先前會使用 IAM 角色設定聯合身分。當您使用聯合 AWS 身分存取 時,您會間接擔任角色。
根據您的使用者類型,您可以登入 AWS 管理主控台 或 AWS 存取入口網站。如需登入的詳細資訊 AWS,請參閱* AWS 《 登入使用者指南*》中的[如何登入您的 AWS 帳戶](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) 。
如果您以 AWS 程式設計方式存取 , AWS 會提供軟體開發套件 (SDK) 和命令列界面 (CLI),以使用您的 憑證以密碼編譯方式簽署您的請求。如果您不使用 AWS 工具,則必須自行簽署請求。如需有關使用建議的方法來自行簽署請求的詳細資訊,請參閱* IAM 《 使用者指南*》中的[簽署 AWS API 請求](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-signing.html)。
無論您使用何種身分驗證方法,您可能還需要提供額外的安全性資訊。例如, AWS 建議您使用多重驗證 (MFA) 來提高帳戶的安全性。若要進一步了解,請參閱《* AWS IAM Identity Center ( AWS 單一登入的後繼者) 使用者指南*》中的[多重要素驗證](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-mfa.html),以及《*IAM 使用者指南*》中的[在 中使用多重要素驗證 (MFA) AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)。
### AWS 帳戶 根使用者
當您建立 時 AWS 帳戶,您會從單一登入身分開始,該身分可完整存取帳戶中的所有 AWS 服務 和資源。此身分稱為 AWS 帳戶 根使用者,可透過使用您用來建立帳戶的電子郵件地址和密碼登入來存取。強烈建議您不要以根使用者處理日常作業。保護您的根使用者憑證,並將其用來執行只能由根使用者執行的任務。如需需要您以根使用者身分登入的任務完整清單,請參閱* IAM 《 使用者指南*》中的[需要根使用者憑證的任務](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-tasks.html)。
### 聯合身分
最佳實務是, 要求人類使用者,包括需要管理員存取權的使用者,使用 聯合身分提供者 AWS 服務 來使用臨時憑證來存取 。
聯合身分是您企業使用者目錄、Web 身分提供者、 AWS Directory Service、Identity Center 目錄或任何使用透過身分來源提供的登入資料 AWS 服務 存取的使用者。當聯合身分存取時 AWS 帳戶,它們會擔任 角色,而角色會提供臨時登入資料。
對於集中式存取權管理,我們建議您使用 AWS IAM Identity Center。您可以在 IAM Identity Center 中建立使用者和群組,也可以連接並同步到您自己的身分來源中的一組使用者 AWS 帳戶 和群組,以便在所有 和應用程式中使用。如需 IAM Identity Center 的相關資訊,請參閱《[IAM Identity Center (單一登入的後繼者) 使用者指南》中的什麼是](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) * AWS IAM Identity Center AWS *?。
### IAM 使用者 和 群組
* [IAM 使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html) * 是您 中的身分 AWS 帳戶 ,具有單一人員或應用程式的特定許可。如果可能,我們建議依賴臨時登入資料,而不是建立擁有密碼和存取金鑰等長期登入資料 IAM 使用者 的人員。不過,如果您有特定的使用案例需要使用長期登入資料 IAM 使用者,建議您輪換存取金鑰。如需更多資訊,請參閱《*IAM 使用者指南*》中的[為需要長期憑證的使用案例定期輪換存取金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials)。
[IAM 群組](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)是指定 集合的身分 IAM 使用者。您無法以群組身分登入。您可以使用群組來一次為多名使用者指定許可。群組可讓管理大量使用者許可的程序變得更為容易。例如,您可以擁有名為 *IAMAdmins* 的群組,並授予該群組管理 IAM 資源的許可。
使用者與角色不同。使用者只會與單一人員或應用程式建立關聯,但角色的目的是在由任何需要它的人員取得。使用者擁有永久的長期憑證,但角色僅提供臨時憑證。若要進一步了解,請參閱《*IAM 使用者指南*》中的[何時建立 IAM 使用者 (而非角色)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose)。
### IAM 角色
* [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*是 中具有特定許可 AWS 帳戶 的身分。它類似於 IAM 使用者,但不與特定人員相關聯。您可以透過 AWS 管理主控台 切換 IAM 角色暫時在 中擔任 角色。 [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)您可以透過呼叫 AWS CLI 或 AWS API 操作或使用自訂 URL 來擔任角色。如需使用角色方法的詳細資訊,請參閱《*IAM 使用者指南*》中的[使用 IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html)。
IAM 具有臨時登入資料的 角色在下列情況下非常有用:
+ **聯合身分使用者存取** - 若要將許可指派給聯合身分,您可以建立角色並定義角色的許可。當聯合身分進行身分驗證時,該身分會與角色建立關聯,並獲授予由角色定義的許可。如需有關聯合角色的相關資訊,請參閱 [IAM 使用者指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html)中的*為第三方身分提供者建立角色*。如果您使用 IAM Identity Center,則需要設定許可集。為控制身分驗證後可以存取的內容,IAM Identity Center 將許可集與 IAM中的角色相關聯。如需有關許可集的資訊,請參閱《* AWS IAM Identity Center ( AWS 單一登入的後續) 使用者指南*》中的[許可集](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)。
+ **暫時 IAM 使用者 許可** - IAM 使用者 可以擔任 IAM 角色,暫時接受特定任務的不同許可。
+ **跨帳戶存取** - 您可以使用 IAM 角色,允許不同帳戶中的某人 (信任的委託人) 存取您帳戶中的資源。角色是授予跨帳戶存取權的主要方式。不過,對於某些 AWS 服務,您可以直接將政策連接到資源 (而不是使用角色做為代理)。若要了解跨帳戶存取的角色和資源型政策之間的差異,請參閱[《IAM 使用者指南》中的 IAM 角色與資源型政策的差異](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。 **
+ **跨服務存取** - 有些 AWS 服務 使用其他 中的功能 AWS 服務。例如,當您在服務中呼叫 時,該服務通常會在 中執行應用程式 Amazon EC2 或將物件存放在其中 Amazon S3。服務可能會使用呼叫主體的許可、使用服務角色或使用服務連結角色來執行此作業。
+ **轉送存取工作階段** (FAS) - 當您使用 IAM 使用者 或 角色在其中執行動作時 AWS,您會被視為委託人。使用某些服務時,您可能會執行某個動作,進而在不同服務中啟動另一個動作。FAS 使用呼叫 的委託人許可 AWS 服務,結合 AWS 服務 請求向下游服務提出請求。只有在服務收到需要與其他 AWS 服務 或 資源互動才能完成的請求時,才會提出 FAS 請求。在此情況下,您必須具有執行這兩個動作的許可。如需提出 FAS 請求時的政策詳細資訊,請參閱[轉發存取工作階段](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)。
+ **服務角色** - 服務角色是服務擔任以代表您執行動作 IAM 的角色。 IAM 管理員可以從內部建立、修改和刪除服務角色 IAM。如需詳細資訊,請參閱 *IAM 使用者指南*中的[建立角色以委派許可給 AWS 服務服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
+ **服務連結角色** - 服務連結角色是連結至 的一種服務角色 AWS 服務。服務可以擔任代表您執行動作的角色。服務連結角色會顯示在您的帳戶中 IAM ,並由服務擁有。 IAM 管理員可以檢視,但不能編輯服務連結角色的許可。
+ **在 上執行 Amazon EC2 的應用程式 ** - 您可以使用 IAM 角色來管理在 Amazon EC2 執行個體上執行之應用程式的臨時登入資料,以及提出 AWS CLI 或 AWS API 請求。這較適合將存取金鑰存放在 Amazon EC2 執行個體中。若要將 AWS 角色指派給 Amazon EC2 執行個體並將其提供給其所有應用程式,您可以建立連接至執行個體的執行個體描述檔。執行個體描述檔包含 角色,並可讓在 Amazon EC2 執行個體上執行的程式取得臨時登入資料。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[使用 IAM 角色將許可授予在 Amazon EC2 執行個體上執行的應用程式](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html)。
若要了解如何使用 IAM 角色或 IAM 使用者,請參閱《*IAM 使用者指南*》中的[建立 IAM 角色 (而非使用者) 的時機](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose_role)。
## 使用政策管理存取權
您可以透過建立政策並將其連接到身分或資源 AWS 來控制 AWS 中的存取。政策是 中的物件,當與身分或資源相關聯時, AWS 會定義其許可。當委託人 (使用者、根使用者或角色工作階段) 發出請求時, 會 AWS 評估這些政策。政策中的許可決定是否允許或拒絕請求。大多數政策會以 JSON 文件 AWS 的形式存放在 中。如需 JSON 政策文件結構和內容的詳細資訊,請參閱《*IAM 使用者指南*》中的 [JSON 政策概觀](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)。
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
預設情況下,使用者和角色沒有許可。若要授予使用者對所需資源執行動作的許可, IAM 管理員可以建立 IAM 政策。然後,管理員可以將 IAM 政策新增至角色,使用者可以擔任角色。
IAM 無論您用來執行操作的方法為何, 政策都會定義動作的許可。例如,假設您有一個允許 `iam:GetRole` 動作的政策。具有該政策的使用者可以從 AWS 管理主控台 AWS CLI、 或 AWS API 取得角色資訊。
### 身分型政策
身分型政策是您可以連接到身分的 JSON 許可政策文件,例如 IAM 使用者、 角色或 群組。這些政策可控制身分在何種條件下能對哪些資源執行哪些動作。若要了解如何建立身分型政策,請參閱《*IAM 使用者指南*》中的[建立 IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
身分型政策可進一步分類成*內嵌政策*或*受管政策*。內嵌政策會直接嵌入單一使用者、群組或角色。受管政策是獨立的政策,您可以連接到 中的多個使用者、群組和角色 AWS 帳戶。受管政策包括 AWS 受管政策和客戶受管政策。如需了解如何在受管政策及內嵌政策間選擇,請參閱 *IAM 使用者指南*中的[在受管政策和內嵌政策間選擇](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#choosing-managed-or-inline)。
### 資源型政策
資源型政策是附加到資源的 JSON 政策文件。以資源為基礎的政策的範例是 IAM *角色信任政策*和 Amazon S3 *儲存貯體政策*。在支援資源型政策的服務中,服務管理員可以使用它們來控制對特定資源的存取權限。對於附加政策的資源,政策會定義指定的主體可以對該資源執行的動作以及在何種條件下執行的動作。您必須在資源型政策中[指定主體](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。委託人可以包含帳戶、使用者、角色、聯合身分使用者或 AWS 服務。
資源型政策是位於該服務中的內嵌政策。您無法在資源型政策 IAM 中使用來自 的 AWS 受管政策。
### 存取控制清單 (ACL)
存取控制清單 (ACL) 可控制哪些主體 (帳戶成員、使用者或角色) 擁有存取某資源的許可。ACL 類似於資源型政策,但它們不使用 JSON 政策文件格式。
Amazon S3 AWS WAF、 和 Amazon VPC 是支援 ACLs的服務範例。若要進一步了解 ACLs,請參閱《*Amazon Simple Storage Service 使用者指南*》中的[存取控制清單 (ACL) 概觀](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html)。
### 其他政策類型
AWS 支援其他較不常見的政策類型。這些政策類型可設定較常見政策類型授予您的最大許可。
+ **許可界限** - 許可界限是一種進階功能,您可以在其中設定身分型政策可授予 IAM 實體 (IAM 使用者 或角色) 的最大許可。您可以為實體設定許可界限。所產生的許可會是實體的身分型政策和其許可界限的交集。會在 `Principal` 欄位中指定使用者或角色的資源型政策則不會受到許可界限限制。任何這些政策中的明確拒絕都會覆寫允許。如需許可界限的詳細資訊,請參閱《*IAM 使用者指南*》中的[IAM 實體的許可界限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)。
+ **服務控制政策 (SCPs)** - SCPs是 JSON 政策,可指定 中組織或組織單位 (OU) 的最大許可 AWS Organizations。 AWS Organizations 是一種服務,用於分組和集中管理您企業擁有 AWS 帳戶 的多個 。若您啟用組織中的所有功能,您可以將服務控制政策 (SCP) 套用到任何或所有帳戶。SCP 會限制成員帳戶中實體的許可,包括每個 AWS 帳戶 根使用者。如需 Organizations 和 SCPs的詳細資訊,請參閱* AWS Organizations 《 使用者指南*》中的[服務控制政策 (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。
+ **工作階段政策** - 工作階段政策是一種進階政策,您可以在透過編寫程式的方式建立角色或聯合身分使用者的暫時工作階段時,做為參數傳遞。所產生工作階段的許可會是使用者或角色的身分型政策和工作階段政策的交集。許可也可以來自資源型政策。所有這類政策中的明確拒絕都會覆寫該允許。如需詳細資訊,請參《*IAM 使用者指南*》中的[工作階段政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)。
### 多種政策類型
當多種類型的政策適用於請求時,產生的許可會更複雜而無法理解。若要了解如何 AWS 在涉及多種政策類型時決定是否允許請求,請參閱《*IAM 使用者指南*》中的[政策評估邏輯](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)。
# ROSA 身分型政策範例
根據預設, IAM 使用者 和 角色沒有建立或修改 AWS 資源的許可。他們也無法使用 AWS 管理主控台 AWS CLI或 AWS API 執行任務。 IAM 管理員必須建立 IAM 政策,授予使用者和角色對所需指定資源執行特定 API 操作的許可。然後,管理員必須將這些政策連接到需要這些許可的 IAM 使用者 或 群組。
若要了解如何使用這些範例 JSON 政策文件建立 IAM 身分型政策,請參閱《*IAM 使用者指南*》中的[在 JSON 標籤上建立政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor)。
## 使用 ROSA 主控台
若要 ROSA 從 主控台訂閱 ,您的 IAM 主體必須具有必要的 AWS Marketplace 許可。許可允許主體訂閱和取消訂閱 中的 ROSA 產品清單 AWS Marketplace ,並檢視 AWS Marketplace 訂閱。若要新增必要的許可,請前往 [ROSA 主控台](https://console.aws.amazon.com/rosa),並將 AWS 受管政策連接至`ROSAManageSubscription`您的 IAM 主體。如需 `ROSAManageSubscription` 的相關資訊,請參閱 [AWS 受管政策:ROSAManageSubscription](security-iam-awsmanpol.md#security-iam-awsmanpol-rosamanagesubscription)。
## 授權 ROSA 與 HCP 管理 AWS 資源
具有託管控制平面 (HCP) 的 ROSA 使用具有服務操作和支援所需許可的 AWS 受管政策。您可以使用 ROSA CLI 或 IAM 主控台將這些政策連接到 中的服務角色 AWS 帳戶。
如需詳細資訊,請參閱[AWS 的 受管政策 ROSA](security-iam-awsmanpol.md)。
## 授權 ROSA classic 來管理 AWS 資源
ROSA classic 使用客戶受管 IAM 政策,具有 服務預先定義的許可。您可以使用 ROSA CLI 來建立這些政策,並將其連接到您 中的服務角色 AWS 帳戶。 ROSA 需要這些政策按照服務的定義進行設定,以確保持續操作和服務支援。
**注意**
若未先諮詢 Red Hat,您不應更改 ROSA 傳統政策。這樣做可能會使 Red Hat 的 99.95% 叢集運作時間服務層級協議失效。具有託管控制平面的 ROSA 使用具有更有限許可集的 AWS 受管政策。如需詳細資訊,請參閱[AWS 的 受管政策 ROSA](security-iam-awsmanpol.md)。
有兩種類型的客戶受管政策 ROSA:帳戶政策和運算子政策。帳戶政策會連接到 服務用來與 Red Hat 建立信任關係 IAM 的角色,以進行網站可靠性工程師 (SRE) 支援、叢集建立和運算功能。運算子政策會連接到 OpenShift 運算子用於與輸入、儲存、映像登錄檔和節點管理相關的叢集操作 IAM 的角色。每個帳戶政策建立一次 AWS 帳戶,而每個叢集建立一次運算子政策。
如需詳細資訊,請參閱[ROSA 傳統帳戶政策](security-iam-rosa-classic-account-policies.md)及[ROSA 傳統運算子政策](security-iam-rosa-classic-operator-policies.md)。
## 允許使用者檢視他們自己的許可
此範例示範如何建立政策, IAM 使用者 允許 檢視連接至其使用者身分的內嵌和受管政策。此政策包含在主控台或使用 以程式設計方式完成此動作的許可 AWS CLI。
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Effect": "Allow",
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
# ROSA 傳統帳戶政策
本節提供 ROSA classic 所需的帳戶政策詳細資訊。ROSA classic 需要這些許可,才能管理叢集執行的資源 AWS ,並啟用叢集的 Red Hat 網站可靠性工程師支援。您可以指派自訂字首給政策名稱,但這些政策應如此頁面所定義命名 (例如 `ManagedOpenShift-Installer-Role-Policy`)。
帳戶政策專屬於 OpenShift 次要發行版本,且可回溯相容。在建立或升級叢集之前,您應該執行 來驗證政策版本和叢集版本是否相同`rosa list account-roles`。如果政策版本低於叢集版本,請執行 `rosa upgrade account-roles`以升級角色和連接的政策。您可以針對相同次要發行版本的多個叢集使用相同的帳戶政策和角色。
## 【字首】-Installer-Role-Policy
您可以將 `[Prefix]-Installer-Role-Policy` 連接到 IAM 實體。您必須先將此政策連接至名為 的 IAM 角色,才能建立 ROSA 傳統叢集`[Prefix]-Installer-Role`。此政策會授予必要的許可,允許 ROSA 安裝程式管理建立叢集所需的 AWS 資源。
### 許可政策
此政策文件中定義的許可會指定允許或拒絕哪些動作。
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"autoscaling:DescribeAutoScalingGroups",
"ec2:AllocateAddress",
"ec2:AssociateAddress",
"ec2:AssociateDhcpOptions",
"ec2:AssociateRouteTable",
"ec2:AttachInternetGateway",
"ec2:AttachNetworkInterface",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CopyImage",
"ec2:CreateDhcpOptions",
"ec2:CreateInternetGateway",
"ec2:CreateNatGateway",
"ec2:CreateNetworkInterface",
"ec2:CreateRoute",
"ec2:CreateRouteTable",
"ec2:CreateSecurityGroup",
"ec2:CreateSubnet",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:CreateVpc",
"ec2:CreateVpcEndpoint",
"ec2:DeleteDhcpOptions",
"ec2:DeleteInternetGateway",
"ec2:DeleteNatGateway",
"ec2:DeleteNetworkInterface",
"ec2:DeleteRoute",
"ec2:DeleteRouteTable",
"ec2:DeleteSecurityGroup",
"ec2:DeleteSnapshot",
"ec2:DeleteSubnet",
"ec2:DeleteTags",
"ec2:DeleteVolume",
"ec2:DeleteVpc",
"ec2:DeleteVpcEndpoints",
"ec2:DeregisterImage",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAddresses",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeDhcpOptions",
"ec2:DescribeImages",
"ec2:DescribeInstanceAttribute",
"ec2:DescribeInstanceCreditSpecifications",
"ec2:DescribeInstances",
"ec2:DescribeInstanceStatus",
"ec2:DescribeInstanceTypeOfferings",
"ec2:DescribeInstanceTypes",
"ec2:DescribeInternetGateways",
"ec2:DescribeKeyPairs",
"ec2:DescribeNatGateways",
"ec2:DescribeNetworkAcls",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribePrefixLists",
"ec2:DescribeRegions",
"ec2:DescribeReservedInstancesOfferings",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSecurityGroupRules",
"ec2:DescribeSubnets",
"ec2:DescribeTags",
"ec2:DescribeVolumes",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcClassicLink",
"ec2:DescribeVpcClassicLinkDnsSupport",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcs",
"ec2:DetachInternetGateway",
"ec2:DisassociateRouteTable",
"ec2:GetConsoleOutput",
"ec2:GetEbsDefaultKmsKeyId",
"ec2:ModifyInstanceAttribute",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:ModifySubnetAttribute",
"ec2:ModifyVpcAttribute",
"ec2:ReleaseAddress",
"ec2:ReplaceRouteTableAssociation",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:RunInstances",
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:TerminateInstances",
"elasticloadbalancing:AddTags",
"elasticloadbalancing:ApplySecurityGroupsToLoadBalancer",
"elasticloadbalancing:AttachLoadBalancerToSubnets",
"elasticloadbalancing:ConfigureHealthCheck",
"elasticloadbalancing:CreateListener",
"elasticloadbalancing:CreateLoadBalancer",
"elasticloadbalancing:CreateLoadBalancerListeners",
"elasticloadbalancing:CreateTargetGroup",
"elasticloadbalancing:DeleteLoadBalancer",
"elasticloadbalancing:DeleteTargetGroup",
"elasticloadbalancing:DeregisterInstancesFromLoadBalancer",
"elasticloadbalancing:DeregisterTargets",
"elasticloadbalancing:DescribeAccountLimits",
"elasticloadbalancing:DescribeInstanceHealth",
"elasticloadbalancing:DescribeListeners",
"elasticloadbalancing:DescribeLoadBalancerAttributes",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeTags",
"elasticloadbalancing:DescribeTargetGroupAttributes",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeTargetHealth",
"elasticloadbalancing:ModifyLoadBalancerAttributes",
"elasticloadbalancing:ModifyTargetGroup",
"elasticloadbalancing:ModifyTargetGroupAttributes",
"elasticloadbalancing:RegisterInstancesWithLoadBalancer",
"elasticloadbalancing:RegisterTargets",
"elasticloadbalancing:SetLoadBalancerPoliciesOfListener",
"iam:AddRoleToInstanceProfile",
"iam:CreateInstanceProfile",
"iam:DeleteInstanceProfile",
"iam:GetInstanceProfile",
"iam:TagInstanceProfile",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:GetUser",
"iam:ListAttachedRolePolicies",
"iam:ListInstanceProfiles",
"iam:ListInstanceProfilesForRole",
"iam:ListRolePolicies",
"iam:ListRoles",
"iam:ListUserPolicies",
"iam:ListUsers",
"iam:RemoveRoleFromInstanceProfile",
"iam:SimulatePrincipalPolicy",
"iam:TagRole",
"iam:UntagRole",
"route53:ChangeResourceRecordSets",
"route53:ChangeTagsForResource",
"route53:CreateHostedZone",
"route53:DeleteHostedZone",
"route53:GetAccountLimit",
"route53:GetChange",
"route53:GetHostedZone",
"route53:ListHostedZones",
"route53:ListHostedZonesByName",
"route53:ListResourceRecordSets",
"route53:ListTagsForResource",
"route53:UpdateHostedZoneComment",
"s3:CreateBucket",
"s3:DeleteBucket",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:GetAccelerateConfiguration",
"s3:GetBucketAcl",
"s3:GetBucketCORS",
"s3:GetBucketLocation",
"s3:GetBucketLogging",
"s3:GetBucketObjectLockConfiguration",
"s3:GetBucketPolicy",
"s3:GetReplicationConfiguration",
"s3:GetBucketRequestPayment",
"s3:GetBucketTagging",
"s3:GetBucketVersioning",
"s3:GetBucketWebsite",
"s3:GetEncryptionConfiguration",
"s3:GetLifecycleConfiguration",
"s3:GetObject",
"s3:GetObjectAcl",
"s3:GetObjectTagging",
"s3:GetObjectVersion",
"s3:GetReplicationConfiguration",
"s3:ListBucket",
"s3:ListBucketVersions",
"s3:PutBucketAcl",
"s3:PutBucketTagging",
"s3:PutBucketVersioning",
"s3:PutEncryptionConfiguration",
"s3:PutObject",
"s3:PutObjectAcl",
"s3:PutObjectTagging",
"servicequotas:GetServiceQuota",
"servicequotas:ListAWSDefaultServiceQuotas",
"sts:AssumeRole",
"sts:AssumeRoleWithWebIdentity",
"sts:GetCallerIdentity",
"tag:GetResources",
"tag:UntagResources",
"ec2:CreateVpcEndpointServiceConfiguration",
"ec2:DeleteVpcEndpointServiceConfigurations",
"ec2:DescribeVpcEndpointServiceConfigurations",
"ec2:DescribeVpcEndpointServicePermissions",
"ec2:DescribeVpcEndpointServices",
"ec2:ModifyVpcEndpointServicePermissions",
"kms:DescribeKey",
"cloudwatch:GetMetricData"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"secretsmanager:GetSecretValue"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/red-hat-managed": "true"
}
}
}
]
}
```
## 【字首】-ControlPlane-Role-Policy
您可以將 `[Prefix]-ControlPlane-Role-Policy` 連接到 IAM 實體。您必須先將此政策連接至名為 的 IAM 角色,才能建立 ROSA 傳統叢集`[Prefix]-ControlPlane-Role`。此政策會將必要的許可授予 ROSA classic,以管理託管 ROSA 控制平面的 Amazon EC2 和 Elastic Load Balancing 資源,以及讀取 KMS keys。
### 許可政策
此政策文件中定義的許可會指定允許或拒絕哪些動作。
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ec2:AttachVolume",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:DeleteSecurityGroup",
"ec2:DeleteVolume",
"ec2:Describe*",
"ec2:DetachVolume",
"ec2:ModifyInstanceAttribute",
"ec2:ModifyVolume",
"ec2:RevokeSecurityGroupIngress",
"elasticloadbalancing:AddTags",
"elasticloadbalancing:AttachLoadBalancerToSubnets",
"elasticloadbalancing:ApplySecurityGroupsToLoadBalancer",
"elasticloadbalancing:CreateListener",
"elasticloadbalancing:CreateLoadBalancer",
"elasticloadbalancing:CreateLoadBalancerPolicy",
"elasticloadbalancing:CreateLoadBalancerListeners",
"elasticloadbalancing:CreateTargetGroup",
"elasticloadbalancing:ConfigureHealthCheck",
"elasticloadbalancing:DeleteListener",
"elasticloadbalancing:DeleteLoadBalancer",
"elasticloadbalancing:DeleteLoadBalancerListeners",
"elasticloadbalancing:DeleteTargetGroup",
"elasticloadbalancing:DeregisterInstancesFromLoadBalancer",
"elasticloadbalancing:DeregisterTargets",
"elasticloadbalancing:Describe*",
"elasticloadbalancing:DetachLoadBalancerFromSubnets",
"elasticloadbalancing:ModifyListener",
"elasticloadbalancing:ModifyLoadBalancerAttributes",
"elasticloadbalancing:ModifyTargetGroup",
"elasticloadbalancing:ModifyTargetGroupAttributes",
"elasticloadbalancing:RegisterInstancesWithLoadBalancer",
"elasticloadbalancing:RegisterTargets",
"elasticloadbalancing:SetLoadBalancerPoliciesForBackendServer",
"elasticloadbalancing:SetLoadBalancerPoliciesOfListener",
"kms:DescribeKey"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
## 【字首】-Worker-Role-Policy
您可以將 `[Prefix]-Worker-Role-Policy` 連接到 IAM 實體。您必須先將此政策連接至名為 的 IAM 角色,才能建立 ROSA 傳統叢集`[Prefix]-Worker-Role`。此政策會將必要的許可授予 ROSA classic,以描述做為工作者節點執行的 EC2 執行個體。
### 許可政策
此政策文件中定義的許可會指定允許或拒絕哪些動作。
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeRegions"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
## 【字首】-Support-Role-Policy
您可以將 `[Prefix]-Support-Role-Policy` 連接到 IAM 實體。您必須先將此政策連接至名為 的 IAM 角色,才能建立 ROSA 傳統叢集`[Prefix]-Support-Role`。此政策授予 Red Hat 網站可靠性工程所需的許可,以觀察、診斷和支援 ROSA 傳統叢集使用 AWS 的資源,包括變更叢集節點狀態的能力。
### 許可政策
此政策文件中定義的許可會指定允許或拒絕哪些動作。
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"cloudtrail:DescribeTrails",
"cloudtrail:LookupEvents",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"ec2-instance-connect:SendSerialConsoleSSHPublicKey",
"ec2:CopySnapshot",
"ec2:CreateNetworkInsightsPath",
"ec2:CreateSnapshot",
"ec2:CreateSnapshots",
"ec2:CreateTags",
"ec2:DeleteNetworkInsightsAnalysis",
"ec2:DeleteNetworkInsightsPath",
"ec2:DeleteTags",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAddresses",
"ec2:DescribeAddressesAttribute",
"ec2:DescribeAggregateIdFormat",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeByoipCidrs",
"ec2:DescribeCapacityReservations",
"ec2:DescribeCarrierGateways",
"ec2:DescribeClassicLinkInstances",
"ec2:DescribeClientVpnAuthorizationRules",
"ec2:DescribeClientVpnConnections",
"ec2:DescribeClientVpnEndpoints",
"ec2:DescribeClientVpnRoutes",
"ec2:DescribeClientVpnTargetNetworks",
"ec2:DescribeCoipPools",
"ec2:DescribeCustomerGateways",
"ec2:DescribeDhcpOptions",
"ec2:DescribeEgressOnlyInternetGateways",
"ec2:DescribeIamInstanceProfileAssociations",
"ec2:DescribeIdentityIdFormat",
"ec2:DescribeIdFormat",
"ec2:DescribeImageAttribute",
"ec2:DescribeImages",
"ec2:DescribeInstanceAttribute",
"ec2:DescribeInstances",
"ec2:DescribeInstanceStatus",
"ec2:DescribeInstanceTypeOfferings",
"ec2:DescribeInstanceTypes",
"ec2:DescribeInternetGateways",
"ec2:DescribeIpv6Pools",
"ec2:DescribeKeyPairs",
"ec2:DescribeLaunchTemplates",
"ec2:DescribeLocalGatewayRouteTables",
"ec2:DescribeLocalGatewayRouteTableVirtualInterfaceGroupAssociations",
"ec2:DescribeLocalGatewayRouteTableVpcAssociations",
"ec2:DescribeLocalGateways",
"ec2:DescribeLocalGatewayVirtualInterfaceGroups",
"ec2:DescribeLocalGatewayVirtualInterfaces",
"ec2:DescribeManagedPrefixLists",
"ec2:DescribeNatGateways",
"ec2:DescribeNetworkAcls",
"ec2:DescribeNetworkInsightsAnalyses",
"ec2:DescribeNetworkInsightsPaths",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribePlacementGroups",
"ec2:DescribePrefixLists",
"ec2:DescribePrincipalIdFormat",
"ec2:DescribePublicIpv4Pools",
"ec2:DescribeRegions",
"ec2:DescribeReservedInstances",
"ec2:DescribeRouteTables",
"ec2:DescribeScheduledInstances",
"ec2:DescribeSecurityGroupReferences",
"ec2:DescribeSecurityGroupRules",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSnapshotAttribute",
"ec2:DescribeSnapshots",
"ec2:DescribeSpotFleetInstances",
"ec2:DescribeStaleSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeTags",
"ec2:DescribeTransitGatewayAttachments",
"ec2:DescribeTransitGatewayConnectPeers",
"ec2:DescribeTransitGatewayConnects",
"ec2:DescribeTransitGatewayMulticastDomains",
"ec2:DescribeTransitGatewayPeeringAttachments",
"ec2:DescribeTransitGatewayRouteTables",
"ec2:DescribeTransitGateways",
"ec2:DescribeTransitGatewayVpcAttachments",
"ec2:DescribeVolumeAttribute",
"ec2:DescribeVolumes",
"ec2:DescribeVolumesModifications",
"ec2:DescribeVolumeStatus",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcClassicLink",
"ec2:DescribeVpcClassicLinkDnsSupport",
"ec2:DescribeVpcEndpointConnectionNotifications",
"ec2:DescribeVpcEndpointConnections",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcEndpointServiceConfigurations",
"ec2:DescribeVpcEndpointServicePermissions",
"ec2:DescribeVpcEndpointServices",
"ec2:DescribeVpcPeeringConnections",
"ec2:DescribeVpcs",
"ec2:DescribeVpnConnections",
"ec2:DescribeVpnGateways",
"ec2:GetAssociatedIpv6PoolCidrs",
"ec2:GetConsoleOutput",
"ec2:GetManagedPrefixListEntries",
"ec2:GetSerialConsoleAccessStatus",
"ec2:GetTransitGatewayAttachmentPropagations",
"ec2:GetTransitGatewayMulticastDomainAssociations",
"ec2:GetTransitGatewayPrefixListReferences",
"ec2:GetTransitGatewayRouteTableAssociations",
"ec2:GetTransitGatewayRouteTablePropagations",
"ec2:ModifyInstanceAttribute",
"ec2:RebootInstances",
"ec2:RunInstances",
"ec2:SearchLocalGatewayRoutes",
"ec2:SearchTransitGatewayMulticastGroups",
"ec2:SearchTransitGatewayRoutes",
"ec2:StartInstances",
"ec2:StartNetworkInsightsAnalysis",
"ec2:StopInstances",
"ec2:TerminateInstances",
"elasticloadbalancing:ConfigureHealthCheck",
"elasticloadbalancing:DescribeAccountLimits",
"elasticloadbalancing:DescribeInstanceHealth",
"elasticloadbalancing:DescribeListenerCertificates",
"elasticloadbalancing:DescribeListeners",
"elasticloadbalancing:DescribeLoadBalancerAttributes",
"elasticloadbalancing:DescribeLoadBalancerPolicies",
"elasticloadbalancing:DescribeLoadBalancerPolicyTypes",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeRules",
"elasticloadbalancing:DescribeSSLPolicies",
"elasticloadbalancing:DescribeTags",
"elasticloadbalancing:DescribeTargetGroupAttributes",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeTargetHealth",
"iam:GetRole",
"iam:ListRoles",
"kms:CreateGrant",
"route53:GetHostedZone",
"route53:GetHostedZoneCount",
"route53:ListHostedZones",
"route53:ListHostedZonesByName",
"route53:ListResourceRecordSets",
"s3:GetBucketTagging",
"s3:GetObjectAcl",
"s3:GetObjectTagging",
"s3:ListAllMyBuckets",
"sts:DecodeAuthorizationMessage",
"tiros:CreateQuery",
"tiros:GetQueryAnswer",
"tiros:GetQueryExplanation"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"s3:ListBucket"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::managed-velero*",
"arn:aws:s3:::*image-registry*"
]
}
]
}
```
# ROSA 傳統運算子政策
本節提供 ROSA 傳統所需的運算子政策詳細資訊。您必須先將這些政策連接到相關的運算子角色,才能建立 ROSA 傳統叢集。每個叢集都需要一組唯一的運算子角色。
需要這些許可才能允許 OpenShift 運算子管理 ROSA 傳統叢集節點。您可以將自訂字首指派給政策名稱,以簡化政策管理 (例如 `ManagedOpenShift-openshift-ingress-operator-cloud-credentials`)。
## 【字首】-openshift-ingress-operator-cloud-credentials
您可以將 `[Prefix]-openshift-ingress-operator-cloud-credentials` 連接到 IAM 實體。此政策會將必要的許可授予輸入運算子,以佈建和管理負載平衡器和 DNS 組態以進行外部叢集存取。此政策也允許輸入運算子讀取和篩選 Route 53 資源標籤值,以探索託管區域。如需 運算子的詳細資訊,請參閱 [OpenShift GitHub 文件中的 OpenShift 傳入運算](https://github.com/openshift/cluster-ingress-operator)子。 OpenShift GitHub
### 許可政策
此政策文件中定義的許可會指定允許或拒絕哪些動作。
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"elasticloadbalancing:DescribeLoadBalancers",
"route53:ListHostedZones",
"route53:ListTagsForResources",
"route53:ChangeResourceRecordSets",
"tag:GetResources"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
## 【字首】-openshift-cluster-csi-drivers-ebs-cloud-credentials
您可以將 `[Prefix]-openshift-cluster-csi-drivers-ebs-cloud-credentials` 連接到 IAM 實體。此政策授予 Amazon EBS CSI Driver Operator 在 ROSA 傳統叢集上安裝和維護 Amazon EBS CSI 驅動程式所需的許可。如需 運算子的詳細資訊,請參閱 OpenShift GitHub 文件中的 [aws-ebs-csi-driver-operator](https://github.com/openshift/aws-ebs-csi-driver-operator#aws-ebs-csi-driver-operator)。
### 許可政策
此政策文件中定義的許可會指定允許或拒絕哪些動作。
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ec2:AttachVolume",
"ec2:CreateSnapshot",
"ec2:CreateTags",
"ec2:CreateVolume",
"ec2:DeleteSnapshot",
"ec2:DeleteTags",
"ec2:DeleteVolume",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeInstances",
"ec2:DescribeSnapshots",
"ec2:DescribeTags",
"ec2:DescribeVolumes",
"ec2:DescribeVolumesModifications",
"ec2:DetachVolume",
"ec2:EnableFastSnapshotRestores",
"ec2:ModifyVolume"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
## 【字首】-openshift-machine-api-aws-cloud-credentials
您可以將 `[Prefix]-openshift-machine-api-aws-cloud-credentials` 連接到 IAM 實體。此政策會將必要的許可授予 Machine Config Operator,以描述、執行和終止以工作者節點管理的 Amazon EC2 執行個體。此政策也授予許可,允許使用 對工作者節點根磁碟區進行磁碟加密 AWS KMS keys。如需 運算子的詳細資訊,請參閱 OpenShift GitHub 文件中的 [machine-config-operator](https://github.com/openshift/machine-config-operator)。
### 許可政策
此政策文件中定義的許可會指定允許或拒絕哪些動作。
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ec2:CreateTags",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeDhcpOptions",
"ec2:DescribeImages",
"ec2:DescribeInstances",
"ec2:DescribeInternetGateways",
"ec2:DescribeInstanceTypes",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRegions",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:RunInstances",
"ec2:TerminateInstances",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeTargetHealth",
"elasticloadbalancing:RegisterInstancesWithLoadBalancer",
"elasticloadbalancing:RegisterTargets",
"elasticloadbalancing:DeregisterTargets",
"iam:CreateServiceLinkedRole"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKey",
"kms:GenerateDataKeyWithoutPlainText",
"kms:DescribeKey"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"kms:RevokeGrant",
"kms:CreateGrant",
"kms:ListGrants"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
}
]
}
```
## 【字首】-openshift-cloud-credential-operator-cloud-credentials
您可以將 `[Prefix]-openshift-cloud-credential-operator-cloud-credentials` 連接到 IAM 實體。此政策授予 Cloud Credential Operator 擷取 IAM 使用者 詳細資訊的必要許可,包括存取金鑰 IDs、連接的內嵌政策文件、使用者的建立日期、路徑、使用者 ID 和 Amazon Resource Name (ARN)。如需 運算子的詳細資訊,請參閱 OpenShift GitHub 文件中的 [cloud-credential-operator](https://github.com/openshift/cloud-credential-operator)。
### 許可政策
此政策文件中定義的許可會指定允許或拒絕哪些動作。
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iam:GetUser",
"iam:GetUserPolicy",
"iam:ListAccessKeys"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
## 【字首】-openshift-image-registry-installer-cloud-credentials
您可以將 `[Prefix]-openshift-image-registry-installer-cloud-credentials` 連接到 IAM 實體。此政策會將必要的許可授予映像登錄運算子,以佈建和管理 ROSA Classic 叢集內映像登錄檔和相依服務的資源,包括 Amazon S3。這是必要的,以便運算子可以安裝和維護 ROSA 傳統叢集的內部登錄檔。如需 運算子的詳細資訊,請參閱 OpenShift GitHub 文件中的[映像登錄運算子](https://github.com/openshift/cluster-image-registry-operator#image-registry-operator)。
### 許可政策
此政策文件中定義的許可會指定允許或拒絕哪些動作。
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"s3:CreateBucket",
"s3:DeleteBucket",
"s3:PutBucketTagging",
"s3:GetBucketTagging",
"s3:PutBucketPublicAccessBlock",
"s3:GetBucketPublicAccessBlock",
"s3:PutEncryptionConfiguration",
"s3:GetEncryptionConfiguration",
"s3:PutLifecycleConfiguration",
"s3:GetLifecycleConfiguration",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:ListBucketMultipartUploads",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
## 【字首】-openshift-cloud-network-config-controller-cloud-cr
您可以將 `[Prefix]-openshift-cloud-network-config-controller-cloud-cr` 連接到 IAM 實體。此政策會將必要的許可授予 Cloud Network Config Controller Operator,以佈建和管理供 ROSA 傳統叢集聯網浮水印使用的聯網資源。運算子使用這些許可來管理 Amazon EC2 執行個體的私有 IP 地址,做為 ROSA 傳統叢集的一部分。如需 運算子的詳細資訊,請參閱 OpenShift GitHub 文件中的 [Cloud-network-config-controller](https://github.com/openshift/cloud-network-config-controller#cloud-network-config-controller-cncc)。
### 許可政策
此政策文件中定義的許可會指定允許或拒絕哪些動作。
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeInstanceStatus",
"ec2:DescribeInstanceTypes",
"ec2:UnassignPrivateIpAddresses",
"ec2:AssignPrivateIpAddresses",
"ec2:UnassignIpv6Addresses",
"ec2:AssignIpv6Addresses",
"ec2:DescribeSubnets",
"ec2:DescribeNetworkInterfaces"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
# AWS 的 受管政策 ROSA
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies),以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新 AWS 受管政策中定義的許可,則更新會影響政策連接的所有主體身分 (使用者、群組和角色)。當新的 AWS 服務 啟動或新的 API 操作可供現有服務使用時, AWS 最有可能更新 AWS 受管政策。如需詳細資訊,請參閱* IAM 《 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## AWS 受管政策:ROSAManageSubscription
您可以將`ROSAManageSubscription`政策連接至 IAM 實體。在 ROSA 主控台 ROSA 中 AWS 啟用 之前,您必須先將此政策連接至 IAM 角色。
此政策會授予您管理 ROSA 訂閱所需的 AWS Marketplace 許可。
**許可詳細資訊**
此政策包含以下許可。
+ `aws-marketplace:Subscribe` - 准許訂閱 AWS Marketplace 產品 ROSA。
+ `aws-marketplace:Unsubscribe` - 允許主體移除 AWS Marketplace 產品的訂閱。
+ `aws-marketplace:ViewSubscriptions` - 允許主體從中檢視訂閱 AWS Marketplace。這是必要的,以便 IAM 委託人可以檢視可用的 AWS Marketplace 訂閱。
若要檢視完整的 JSON 政策文件,請參閱《 * AWS 受管政策參考指南*》中的 [ROSAManageSubscription](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAManageSubscription.html)。
## 具有 HCP 帳戶政策的 ROSA
本節提供具有託管控制平面 (HCP) 的 ROSA 所需的帳戶政策詳細資訊。這些 AWS 受管政策會新增 ROSA 搭配 HCP IAM 角色使用的許可。Red Hat 網站可靠性工程 (SRE) 技術支援、叢集安裝以及控制平面和運算功能需要 許可。
**注意**
AWS 受管政策旨在供 ROSA 搭配託管控制平面 (HCP) 使用。ROSA 傳統叢集使用客戶受管 IAM 政策。如需 ROSA 傳統政策的詳細資訊,請參閱 [ROSA 傳統帳戶政策](security-iam-rosa-classic-account-policies.md)和 [ROSA 傳統運算子政策](security-iam-rosa-classic-operator-policies.md)。
### AWS 受管政策:ROSAWorkerInstancePolicy
您可以將 `ROSAWorkerInstancePolicy`連接到您的 IAM 實體。在建立叢集之前,您必須連接具有此政策的 IAM 角色。ROSA 服務 AWS 服務 會代表您呼叫其他 。他們會這樣做來管理您用於每個叢集的資源。
**許可詳細資訊**
此政策包含下列許可,允許 ROSA 工作者節點完成下列任務:
+ `ec2` — 在 ROSA 叢集工作者節點生命週期管理中評估 AWS 區域 和 Amazon EC2 執行個體詳細資訊。
+ `ecr` - 評估並從 ROSA 受管 ECR 儲存庫取得叢集安裝和工作者節點生命週期管理所需的映像。
若要檢視完整的 JSON 政策文件,請參閱《 * AWS 受管政策參考指南*》中的 [ROSAWorkerInstancePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAWorkerInstancePolicy.html)。
### AWS 受管政策:ROSASRESupportPolicy
您可以將 `ROSASRESupportPolicy` 連接到 IAM 實體。
使用託管控制平面叢集建立 ROSA 之前,您必須先將此政策連接至 IAM 角色。此政策將必要的許可授予 Red Hat 網站可靠性工程師 (SREs),以直接觀察、診斷和支援與 ROSA 叢集相關聯的 AWS 資源,包括變更 ROSA 叢集節點狀態的能力。
**許可詳細資訊**
此政策包含下列許可,允許 Red Hat SREs完成下列任務:
+ `cloudtrail` — 讀取與叢集相關的 AWS CloudTrail 事件和線索。
+ `cloudwatch` — 讀取與叢集相關的 Amazon CloudWatch 指標。
+ `ec2` — 讀取、描述和檢閱與叢集運作狀態相關的 Amazon EC2 元件,例如安全群組、VPC 端點連線和磁碟區狀態。啟動、停止、重新啟動和終止 Amazon EC2 執行個體。
+ `elasticloadbalancing` — 讀取、描述和檢閱與叢集運作狀態相關的 Elastic Load Balancing 參數。
+ `iam` — 評估與叢集運作狀態相關的 IAM 角色。
+ `route53` — 檢閱與叢集運作狀態相關的 DNS 設定。
+ `sts` — `DecodeAuthorizationMessage` — 讀取 IAM 訊息以進行除錯。
若要檢視完整的 JSON 政策文件,請參閱《 * AWS 受管政策參考指南*》中的 [ROSASRESupportPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSASRESupportPolicy.html)。
### AWS 受管政策:ROSAInstallerPolicy
您可以將 `ROSAInstallerPolicy`連接到您的 IAM 實體。
使用託管控制平面叢集建立 ROSA 之前,您必須先將此政策連接至名為 的 IAM 角色`[Prefix]-ROSA-Worker-Role`。此政策允許實體將遵循 `[Prefix]-ROSA-Worker-Role` 模式的任何角色新增至執行個體描述檔。此政策會將必要的許可授予安裝程式,以管理支援 ROSA 叢集安裝 AWS 的資源。
**許可詳細資訊**
此政策包含下列許可,允許安裝程式完成下列任務:
+ `ec2` — 使用 Red Hat AWS 帳戶 擁有和管理之 中託管AMIs 執行 Amazon EC2 執行個體。描述與 Amazon EC2 節點相關聯的 Amazon EC2 執行個體、磁碟區和網路資源。需要此許可,Kubernetes 控制平面才能將執行個體加入叢集,而且叢集可以評估其中的存在 Amazon VPC。檢查 Amazon EC2 容量保留,以支援 ROSA 中的新容量保留功能。使用符合 的標籤金鑰在子網路上標記和刪除標籤`"kubernetes.io/cluster/*"`。這是必要的,以確保用於叢集傳入的負載平衡器僅在適用的子網路中建立,並管理 Kubernetes 叢集識別標籤。
+ `elasticloadbalancing` — 將負載平衡器新增至叢集上的目標節點。從叢集上的目標節點移除負載平衡器。需要此許可,以便 Kubernetes 控制平面可以動態佈建 Kubernetes 服務和 OpenShift 應用程式服務請求的負載平衡器。
+ `kms` — 讀取 AWS KMS 金鑰、建立和管理授予 Amazon EC2,並傳回唯一的對稱資料金鑰以供 外部使用 AWS KMS。在叢集建立時啟用加密時,這是使用`etcd`加密`etcd`資料的必要項目。
+ `iam` — 驗證 IAM 角色和政策。動態佈建和管理與叢集相關的 Amazon EC2 執行個體描述檔。使用 `iam:TagInstanceProfile`許可將標籤新增至 IAM 執行個體描述檔。當叢集安裝因缺少客戶指定的叢集 OIDC 供應商而失敗時,提供安裝程式錯誤訊息。
+ `route53` — 管理建立叢集所需的 Route 53 資源。
+ `servicequotas` — 評估建立叢集所需的服務配額。
+ `sts` — 建立 ROSA 元件的臨時 AWS STS 登入資料。擔任用於建立叢集的登入資料。
+ `secretsmanager` — 讀取秘密值,以安全地允許客戶受管的 OIDC 組態做為叢集佈建的一部分。
若要檢視完整的 JSON 政策文件,請參閱《 * AWS 受管政策參考指南*》中的 [ROSAInstallerPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAInstallerPolicy.html)。
### AWS 受管政策:ROSASharedVPCRoute53Policy
您可以將 `ROSASharedVPCRoute53Policy`連接到您的 IAM 實體。您必須將此政策連接至 IAM 角色,以允許 ROSA 叢集在共用 VPC AWS 服務 環境中呼叫其他 。
此政策允許 ROSA 安裝程式設定 Route 53 記錄。此政策旨在用於共用 VPC,並提供針對共用 VPC 使用案例量身打造的 Route 53 許可子集。
**許可詳細資訊**
此政策包含下列許可,允許 ROSA 安裝程式完成下列任務:
+ `route53` — 讀取 DNS 區域資訊和現有 DNS 記錄,以了解目前的 DNS 組態。建立、修改和刪除 DNS 記錄,但僅適用於特定 ROSA 相關網域模式,包括 `.hypershift.local`、`.openshiftapps.com`、`.devshift.org`、 `.openshiftusgov.com`和 `.devshiftusgov.com`。新增、修改或移除 Route 53 資源上的標籤,以進行資源管理和組織。
+ `tag` — 根據資源的標籤探索和列出 AWS 資源,這有助於識別由 ROSA 管理的資源。
若要檢視政策的詳細資訊,包括最新版本的 JSON 政策文件,請參閱《 * AWS 受管政策參考指南*》中的 [ROSASharedVPCRoute53Policy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSASharedVPCRoute53Policy.html)。
### AWS 受管政策:ROSASharedVPCEndpointPolicy
您可以將 `ROSASharedVPCEndpointPolicy`連接到您的 IAM 實體。您必須將此政策連接至 IAM 角色,以允許 ROSA 叢集在共用 VPC AWS 服務 環境中呼叫其他 。
此政策允許 ROSA 安裝程式在共用 VPC 環境中設定 VPC 端點和安全群組。
**許可詳細資訊**
此政策包含下列許可,允許 ROSA 安裝程式完成下列任務:
+ `ec2` — 描述 VPC 相關資源的唯讀許可,VPCs 和安全群組,以了解網路環境。建立、刪除和修改具有標籤型限制的安全群組,讓 ROSA 能夠建立和管理叢集聯網的安全群組,同時將操作限制為僅 ROSA 標記的資源。建立、修改和刪除具有標籤型限制的 VPC 端點,允許 ROSA 建立和管理 VPC 端點,以便在共用 VPC AWS 服務 環境中連線至 。在建立期間將標籤套用至新建立的 VPC 端點和安全群組,以進行適當的資源識別和管理。
若要檢視政策的詳細資訊,包括最新版本的 JSON 政策文件,請參閱《 * AWS 受管政策參考指南*》中的 [ROSASharedVPCEndpointPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSASharedVPCEndpointPolicy.html)。
## 具有 HCP 運算子政策的 ROSA
本節提供有關具有託管控制平面 (HCP) 的 ROSA 所需的運算子政策的詳細資訊。您可以將這些 AWS 受管政策連接到搭配 HCP 使用 ROSA 所需的運算子角色。需要許可才能允許 OpenShift 運算子使用 HCP 叢集節點管理 ROSA。
**注意**
AWS 受管政策旨在供 ROSA 搭配託管控制平面 (HCP) 使用。ROSA 傳統叢集使用客戶受管 IAM 政策。如需 ROSA 傳統政策的詳細資訊,請參閱 [ROSA 傳統帳戶政策](security-iam-rosa-classic-account-policies.md)和 [ROSA 傳統運算子政策](security-iam-rosa-classic-operator-policies.md)。
### AWS 受管政策:ROSAAmazonEBSCSIDriverOperatorPolicy
您可以將 `ROSAAmazonEBSCSIDriverOperatorPolicy`連接到您的 IAM 實體。您必須將此政策連接至運算子 IAM 角色,以允許具有託管控制平面叢集的 ROSA 呼叫其他 AWS 服務。每個叢集都需要一組唯一的運算子角色。
此政策會將必要的許可授予 Amazon EBS CSI Driver Operator,以在 ROSA 叢集上安裝和維護 Amazon EBS CSI 驅動程式。如需 運算子的詳細資訊,請參閱 OpenShift GitHub 文件中的 [aws-ebs-csi-driver 運算](https://github.com/openshift/aws-ebs-csi-driver-operator#aws-ebs-csi-driver-operator)子。
**許可詳細資訊**
此政策包含下列許可,允許 Amazon EBS Driver Operator 完成下列任務:
+ `ec2` — 建立、修改、連接、分離和刪除連接到 Amazon EC2 執行個體的 Amazon EBS 磁碟區。建立和刪除 Amazon EBS 磁碟區快照,並列出 Amazon EC2 執行個體、磁碟區和快照。
若要檢視完整的 JSON 政策文件,請參閱《 * AWS 受管政策參考指南*》中的 [ROSAAmazonEBSCSIDriverOperatorPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAAmazonEBSCSIDriverOperatorPolicy.html)。
### AWS 受管政策:ROSAIngressOperatorPolicy
您可以將 `ROSAIngressOperatorPolicy`連接到您的 IAM 實體。您必須將此政策連接至運算子 IAM 角色,以允許具有託管控制平面叢集的 ROSA 呼叫其他 AWS 服務。每個叢集都需要一組唯一的運算子角色。
此政策會將必要的許可授予輸入運算子,以佈建和管理 ROSA 叢集的負載平衡器和 DNS 組態。政策允許讀取標籤值。然後,運算子會篩選 Route 53 資源的標籤值,以探索託管區域。如需 運算子的詳細資訊,請參閱 [OpenShift GitHub 文件中的 OpenShift 傳入運算](https://github.com/openshift/cluster-ingress-operator#openshift-ingress-operator)子。 OpenShift GitHub
**許可詳細資訊**
此政策包含下列許可,允許輸入運算子完成下列任務:
+ `elasticloadbalancing` — 描述佈建負載平衡器的狀態。
+ `route53` — 列出 Route 53 託管區域並編輯管理由 ROSA 叢集控制之 DNS 的記錄。
+ `tag` — 使用 `tag:GetResources`許可管理標記的資源。
若要檢視完整的 JSON 政策文件,請參閱《 * AWS 受管政策參考指南*》中的 [ROSAIngressOperatorPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAIngressOperatorPolicy.html)。
### AWS 受管政策:ROSAImageRegistryOperatorPolicy
您可以將 `ROSAImageRegistryOperatorPolicy`連接至您的 IAM 實體。您必須將此政策連接至運算子 IAM 角色,以允許具有託管控制平面叢集的 ROSA 呼叫其他 AWS 服務。每個叢集都需要一組唯一的運算子角色。
此政策會將必要的許可授予映像登錄運算子,以佈建和管理叢集 ROSA 內映像登錄檔和相依服務的資源,包括 S3。這是必要的,以便運算子可以安裝和維護 ROSA 叢集的內部登錄檔。如需 運算子的詳細資訊,請參閱 OpenShift GitHub 文件中的[映像登錄運算子](https://github.com/openshift/cluster-image-registry-operator#image-registry-operator)。
**許可詳細資訊**
此政策包含下列許可,允許 Image Registry Operator 完成下列動作:
+ `s3` — 管理和評估 Amazon S3 儲存貯體作為容器映像內容和叢集中繼資料的持久性儲存。
若要檢視完整的 JSON 政策文件,請參閱《 * AWS 受管政策參考指南*》中的 [ROSAImageRegistryOperatorPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAImageRegistryOperatorPolicy.html)。
### AWS 受管政策:ROSACloudNetworkConfigOperatorPolicy
您可以將 `ROSACloudNetworkConfigOperatorPolicy`連接到您的 IAM 實體。您必須將此政策連接至運算子 IAM 角色,以允許具有託管控制平面叢集的 ROSA 呼叫其他 AWS 服務。每個叢集都需要一組唯一的運算子角色。
此政策會將必要的許可授予 Cloud Network Config Controller Operator,以佈建和管理 ROSA 叢集聯網浮水印的聯網資源。運算子使用這些許可來管理 Amazon EC2 執行個體的私有 IP 地址,做為 ROSA 叢集的一部分。如需 運算子的詳細資訊,請參閱 OpenShift GitHub 文件中的 [Cloud-network-config-controller](https://github.com/openshift/cloud-network-config-controller#cloud-network-config-controller-cncc)。
**許可詳細資訊**
此政策包含下列許可,允許 Cloud Network Config Controller Operator 完成下列任務:
+ `ec2` — 讀取、指派和描述 ROSA 叢集中連接 Amazon EC2 執行個體、 Amazon VPC 子網路和彈性網路介面的組態。
若要檢視完整的 JSON 政策文件,請參閱《 * AWS 受管政策參考指南*》中的 [ROSACloudNetworkConfigOperatorPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSACloudNetworkConfigOperatorPolicy.html)。
### AWS 受管政策:ROSAKubeControllerPolicy
您可以將 `ROSAKubeControllerPolicy`連接到您的 IAM 實體。您必須將此政策連接至運算子 IAM 角色,以允許具有託管控制平面叢集的 ROSA 呼叫其他 AWS 服務。每個叢集都需要一組唯一的運算子角色。
此政策會授予 kube 控制器管理所需的許可 Amazon EC2 Elastic Load Balancing,以及具有託管控制平面叢集之 ROSA AWS KMS 的資源。如需此控制器的詳細資訊,請參閱 OpenShift 文件中的[控制器架構](https://hypershift-docs.netlify.app/reference/controller-architecture/)。
**許可詳細資訊**
此政策包含下列許可,允許 kube 控制器完成下列任務:
+ `ec2` — 建立、刪除標籤,並將標籤新增至 Amazon EC2 執行個體安全群組。將傳入規則新增至安全群組。描述可用區域、 Amazon EC2 執行個體、路由表、安全群組、VPCs和子網路。
+ `elasticloadbalancing` — 建立和管理負載平衡器及其政策。建立和管理負載平衡器接聽程式。向目標群組註冊和取消註冊目標,並管理目標群組。向負載平衡器註冊和取消註冊 Amazon EC2 執行個體,並將標籤新增至負載平衡器。
+ `kms` — 擷取 AWS KMS 金鑰的詳細資訊。在叢集建立時啟用加密時,這是使用`etcd`加密`etcd`資料的必要項目。
若要檢視完整的 JSON 政策文件,請參閱《 * AWS 受管政策參考指南*》中的 [ROSAKubeControllerPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAKubeControllerPolicy.html)。
### AWS 受管政策:ROSANodePoolManagementPolicy
您可以將 `ROSANodePoolManagementPolicy`連接到您的 IAM 實體。您必須將此政策連接至運算子 IAM 角色,以允許具有託管控制平面叢集的 ROSA 呼叫其他服務 AWS 。每個叢集都需要一組唯一的運算子角色。
此政策會將必要的許可授予 NodePool 控制器,以描述、執行和終止以工作者節點管理的 Amazon EC2 執行個體。此政策也授予許可,允許使用 AWS KMS 金鑰對工作者節點根磁碟區進行磁碟加密、標記連接至工作者節點的彈性網路介面,以及存取 Amazon EC2 容量預留。如需此控制器的詳細資訊,請參閱 OpenShift 文件中的[控制器架構](https://hypershift-docs.netlify.app/reference/controller-architecture/)。
**許可詳細資訊**
此政策包含下列許可,允許 NodePool 控制器完成下列任務:
+ `ec2` — 使用 Red Hat AWS 帳戶 擁有和管理之 中託管AMIs 執行 Amazon EC2 執行個體。在 ROSA 叢集中管理 EC2 生命週期。動態建立並整合工作者節點與 Elastic Load Balancing、 Amazon VPC Route 53 Amazon EBS、 和 Amazon EC2。存取和描述容量保留,以支援 ROSA 中的容量保留功能。
+ `iam` — Elastic Load Balancing 透過名為 的服務連結角色使用 `AWSServiceRoleForElasticLoadBalancing`。將角色指派給 Amazon EC2 執行個體描述檔。
+ `kms` — 讀取 AWS KMS 金鑰、建立和管理授予 Amazon EC2,並傳回唯一的對稱資料金鑰以供 外部使用 AWS KMS。這是允許工作者節點根磁碟區的磁碟加密的必要項目。
若要檢視完整的 JSON 政策文件,請參閱《 * AWS 受管政策參考指南*》中的 [ROSANodePoolManagementPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSANodePoolManagementPolicy.html)。
### AWS 受管政策:ROSAKMSProviderPolicy
您可以將 `ROSAKMSProviderPolicy`連接到您的 IAM 實體。您必須將此政策連接至運算子 IAM 角色,以允許具有託管控制平面叢集的 ROSA 呼叫其他 AWS 服務。每個叢集都需要一組唯一的運算子角色。
此政策會將必要的許可授予內建 AWS 加密提供者,以管理支援`etcd`資料加密的 AWS KMS 金鑰。此政策允許 Amazon EC2 使用 AWS 加密提供者提供的 KMS 金鑰來加密和解密`etcd`資料。如需此提供者的詳細資訊,請參閱 Kubernetes GitHub 文件中的[AWS 加密提供者](https://github.com/kubernetes-sigs/aws-encryption-provider#aws-encryption-provider)。
**許可詳細資訊**
此政策包含下列許可,允許 AWS 加密提供者完成下列任務:
+ `kms` — 加密、解密和擷取 AWS KMS 金鑰。在叢集建立時啟用加密時,這是使用`etcd`加密`etcd`資料的必要項目。
若要檢視完整的 JSON 政策文件,請參閱《 * AWS 受管政策參考指南*》中的 [ROSAKMSProviderPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAKMSProviderPolicy.html)。
### AWS 受管政策:ROSAControlPlaneOperatorPolicy
您可以將 `ROSAControlPlaneOperatorPolicy`連接到您的 IAM 實體。您必須將此政策連接至運算子 IAM 角色,以允許具有託管控制平面叢集的 ROSA 呼叫其他 AWS 服務。每個叢集都需要一組唯一的運算子角色。
此政策會授予控制平面運算子所需的許可,以使用託管控制平面叢集來管理 ROSA 的 Route 53 Amazon EC2 和資源。如需此運算子的詳細資訊,請參閱 OpenShift 文件中的[控制器架構](https://hypershift-docs.netlify.app/reference/controller-architecture/)。
**許可詳細資訊**
此政策包含下列許可,允許控制平面運算子完成下列任務:
+ `ec2` — 建立和管理 Amazon VPC 端點。
+ `route53` — 列出和變更 Route 53 記錄集,並列出託管區域。
若要檢視完整的 JSON 政策文件,請參閱《 * AWS 受管政策參考指南*》中的 [ROSAControlPlaneOperatorPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAControlPlaneOperatorPolicy.html)。
## ROSA AWS 受管政策的更新
檢視自此服務開始追蹤這些變更 ROSA 以來, AWS 受管政策更新的詳細資訊。如需有關此頁面變更的自動提醒,請訂閱 [文件歷史記錄](doc-history.md) 頁面的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| ROSANodePoolManagementPolicy — 已更新政策 | ROSA 已更新政策,以新增 Amazon EC2 容量保留的資源存取權。此變更可讓 NodePool 控制器存取和描述容量保留,以改善資源管理。如需詳細資訊,請參閱 [AWS 受管政策:ROSANodePoolManagementPolicy](#security-iam-awsmanpol-rosanodepoolmanagementpolicy)。 | 2025 年 9 月 3 日 |
| ROSASharedVPCEndpointPolicy — 新增了新政策 | ROSA 新增了新的政策,允許 ROSA 安裝程式在共用 VPC 環境中設定 VPC 端點和安全群組。此政策提供針對共用 VPC 使用案例量身打造的 EC2 許可子集。如需詳細資訊,請參閱 [AWS 受管政策:ROSASharedVPCEndpointPolicy](#security-iam-awsmanpol-rosasharedvpcendpointpolicy)。 | 2025 年 8 月 7 日 |
| ROSASharedVPCRoute53Policy — 新增的政策 | ROSA 新增了新的政策,以允許 ROSA 安裝程式在共用 VPC 環境中設定 Route 53 記錄。此政策提供針對共用 VPC 使用案例量身打造的 Route 53 許可子集。如需詳細資訊,請參閱 [AWS 受管政策:ROSASharedVPCRoute53Policy](#security-iam-awsmanpol-rosasharedvpcroute53policy)。 | 2025 年 8 月 7 日 |
| ROSAInstallerPolicy — 政策已更新 | ROSA 已更新政策,以允許 ROSA 安裝程式檢查 Amazon EC2 容量保留,以支援 ROSA 中的新容量保留功能。此更新也允許安裝程式使用標籤索引鍵比對來刪除子網路上的標籤`"kubernetes.io/cluster/*"`,以改善 Kubernetes 叢集標籤管理。如需詳細資訊,請參閱 [AWS 受管政策:ROSAInstallerPolicy](#security-iam-awsmanpol-rosainstallerpolicy)。 | 2025 年 8 月 7 日 |
| ROSAImageRegistryOperatorPolicy — 政策已更新 | ROSA 已更新政策,將許可範圍縮小至 S3 儲存貯體資源層級。此變更同時符合 AWS 商業和 GovCloud 區域的 ROSA 儲存需求。如需詳細資訊,請參閱 [AWS 受管政策:ROSAImageRegistryOperatorPolicy](#security-iam-awsmanpol-rosaimageregistryoperatorpolicy)。 | 2025 年 5 月 19 日 |
| ROSANodePoolManagementPolicy — 已更新政策 | ROSA 已更新政策,以允許標記連接到工作者節點的彈性網路界面。如需詳細資訊,請參閱 [AWS 受管政策:ROSANodePoolManagementPolicy](#security-iam-awsmanpol-rosanodepoolmanagementpolicy)。 | 2025 年 5 月 5 日 |
| ROSAImageRegistryOperatorPolicy — 政策已更新 | ROSA 已更新政策,允許 Red Hat OpenShift Image Registry Operator 在 AWS GovCloud 區域中佈建和管理 Amazon S3 儲存貯體和物件,以供 ROSA 叢集內映像登錄使用。此變更符合 AWS GovCloud 區域的 ROSA 儲存需求。如需詳細資訊,請參閱 [AWS 受管政策:ROSAImageRegistryOperatorPolicy](#security-iam-awsmanpol-rosaimageregistryoperatorpolicy)。 | 2025 年 4 月 16 日 |
| ROSAWorkerInstancePolicy — 政策已更新 | ROSA 已更新政策,允許工作者節點評估並從 ROSA 受管 ECR 儲存庫取得叢集安裝和工作者節點生命週期管理所需的映像。如需詳細資訊,請參閱 [AWS 受管政策:ROSAWorkerInstancePolicy](#security-iam-awsmanpol-rosaworkerinstancepolicy)。 | 2025 年 3 月 3 日 |
| ROSANodePoolManagementPolicy — 政策已更新 | ROSA 已更新政策,允許僅在請求包含標籤 時,才在 ec2:RunInstances 呼叫期間類似 EC2 執行個體地標記彈性網路介面`red-hat-managed: true`。這些許可是使用 HCP 4.17 叢集支援 ROSA 的必要許可。如需詳細資訊,請參閱 [AWS 受管政策:ROSANodePoolManagementPolicy](#security-iam-awsmanpol-rosanodepoolmanagementpolicy)。 | 2025 年 2 月 24 日 |
| ROSAAmazonEBSCSIDriverOperatorPolicy — 政策已更新 | ROSA 已更新政策以支援新的 Amazon EBS 快照授權 API。如需詳細資訊,請參閱 [AWS 受管政策:ROSAAmazonEBSCSIDriverOperatorPolicy](#security-iam-awsmanpol-rosaamazonebscsidriveroperatorpolicy)。 | 2025 年 1 月 17 日 |
| ROSANodePoolManagementPolicy — 政策已更新 | ROSA 已更新政策,允許 ROSA 節點集區管理員描述 DHCP 選項集,以設定適當的私有 DNS 名稱。如需詳細資訊,請參閱 [AWS 受管政策:ROSANodePoolManagementPolicy](#security-iam-awsmanpol-rosanodepoolmanagementpolicy)。 | 2024 年 5 月 2 日 |
| ROSAInstallerPolicy — 政策已更新 | ROSA 已更新政策,以允許 ROSA 安裝程式使用符合 的標籤金鑰將標籤新增至子網路`"kubernetes.io/cluster/*"`。如需詳細資訊,請參閱 [AWS 受管政策:ROSAInstallerPolicy](#security-iam-awsmanpol-rosainstallerpolicy)。 | 2024 年 4 月 24 日 |
| ROSASRESupportPolicy — 政策已更新 | ROSA 已更新政策,以允許 SRE 角色擷取已標記為 ROSA 之執行個體描述檔的相關資訊`red-hat-managed`。如需詳細資訊,請參閱 [AWS 受管政策:ROSASRESupportPolicy](#security-iam-awsmanpol-rosasresupportpolicy)。 | 2024 年 4 月 10 日 |
| ROSAInstallerPolicy — 政策已更新 | ROSA 已更新政策,以允許 ROSA 安裝程式驗證 的 AWS 受管政策 ROSA 是否連接到 使用 IAM 的角色 ROSA。此更新還允許安裝程式識別客戶受管政策是否已連接到 ROSA 角色。如需詳細資訊,請參閱 [AWS 受管政策:ROSAInstallerPolicy](#security-iam-awsmanpol-rosainstallerpolicy)。 | 2024 年 4 月 10 日 |
| ROSAInstallerPolicy — 政策已更新 | ROSA 已更新政策,允許服務在叢集安裝因缺少客戶指定的叢集 OIDC 供應商而失敗時提供安裝程式提醒訊息。此更新也允許服務擷取現有的 DNS 名稱伺服器,讓叢集佈建操作具有等冪性。如需詳細資訊,請參閱 [AWS 受管政策:ROSAInstallerPolicy](#security-iam-awsmanpol-rosainstallerpolicy)。 | 2024 年 1 月 26 日 |
| ROSASRESupportPolicy — 政策已更新 | ROSA 已更新政策,以允許服務使用 DescribeSecurityGroups API 在安全群組上執行讀取操作。如需詳細資訊,請參閱 [AWS 受管政策:ROSASRESupportPolicy](#security-iam-awsmanpol-rosasresupportpolicy)。 | 2024 年 1 月 22 日 |
| ROSAImageRegistryOperatorPolicy — 已更新政策 | ROSA 已更新政策,以允許映像登錄運算子對 14 個字元名稱區域中的 Amazon S3 儲存貯體採取動作。如需詳細資訊,請參閱 [AWS 受管政策:ROSAImageRegistryOperatorPolicy](#security-iam-awsmanpol-rosaimageregistryoperatorpolicy)。 | 2023 年 12 月 12 日 |
| ROSAKubeControllerPolicy — 政策已更新 | ROSA 已更新政策,以允許 kube-controller-manager 描述可用區域、 Amazon EC2 執行個體、路由表、安全群組、VPCs和子網路。如需詳細資訊,請參閱 [AWS 受管政策:ROSAKubeControllerPolicy](#security-iam-awsmanpol-rosakubecontrollerpolicy)。 | 2023 年 10 月 16 日 |
| ROSAManageSubscription — 政策已更新 | ROSA 已更新政策,新增具有託管控制平面 ProductId 的 ROSA。如需詳細資訊,請參閱 [AWS 受管政策:ROSAManageSubscription](#security-iam-awsmanpol-rosamanagesubscription)。 | 2023 年 8 月 1 日 |
| ROSAKubeControllerPolicy — 政策已更新 | ROSA 已更新政策,以允許 kube-controller-manager 將 Network Load Balancer 建立為 Kubernetes 服務負載平衡器。Network Load Balancer 提供更大的能力來處理揮發性工作負載,並支援負載平衡器的靜態 IP 地址。如需詳細資訊,請參閱 [AWS 受管政策:ROSAKubeControllerPolicy](#security-iam-awsmanpol-rosakubecontrollerpolicy)。 | 2023 年 7 月 13 日 |
| ROSANodePoolManagementPolicy — 新增政策 | ROSA 新增了新的政策,以允許 NodePool 控制器描述、執行和終止以工作者節點管理的 Amazon EC2 執行個體。此政策也會使用 AWS KMS 金鑰啟用工作者節點根磁碟區的磁碟加密。如需詳細資訊,請參閱 [AWS 受管政策:ROSANodePoolManagementPolicy](#security-iam-awsmanpol-rosanodepoolmanagementpolicy)。 | 2023 年 6 月 8 日 |
| ROSAInstallerPolicy — 新增政策 | ROSA 新增了新的政策,以允許安裝程式管理支援叢集安裝 AWS 的資源。如需詳細資訊,請參閱 [AWS 受管政策:ROSAInstallerPolicy](#security-iam-awsmanpol-rosainstallerpolicy)。 | 2023 年 6 月 6 日 |
| ROSASRESupportPolicy — 新增政策 | ROSA 新增了新的政策,以允許 Red Hat SREs直接觀察、診斷和支援與 ROSA 叢集相關聯的 AWS 資源,包括變更 ROSA 叢集節點狀態的能力。如需詳細資訊,請參閱 [AWS 受管政策:ROSASRESupportPolicy](#security-iam-awsmanpol-rosasresupportpolicy)。 | 2023 年 6 月 1 日 |
| ROSAKMSProviderPolicy — 新增政策 | ROSA 新增了新的政策,以允許內建 AWS 加密提供者管理 AWS KMS 金鑰以支援加密的資料加密。如需詳細資訊,請參閱 [AWS 受管政策:ROSAKMSProviderPolicy](#security-iam-awsmanpol-rosakmsproviderpolicy)。 | 2023 年 4 月 27 日 |
| ROSAKubeControllerPolicy — 新增政策 | ROSA 新增了新的政策,以允許 kube 控制器管理 Elastic Load Balancing Amazon EC2,以及 ROSA 具有託管控制平面叢集之 的 AWS KMS 資源。如需詳細資訊,請參閱 [AWS 受管政策:ROSAKubeControllerPolicy](#security-iam-awsmanpol-rosakubecontrollerpolicy)。 | 2023 年 4 月 27 日 |
| ROSAImageRegistryOperatorPolicy — 新增了新政策 | ROSA 新增了新的政策,以允許映像登錄運算子佈建和管理叢集 ROSA 內映像登錄和相依服務的資源,包括 S3。如需詳細資訊,請參閱 [AWS 受管政策:ROSAImageRegistryOperatorPolicy](#security-iam-awsmanpol-rosaimageregistryoperatorpolicy)。 | 2023 年 4 月 27 日 |
| ROSAControlPlaneOperatorPolicy — 新增政策 | ROSA 新增了新的政策,以允許控制平面運算子 ROSA 使用託管控制平面叢集來管理 的 Route 53 Amazon EC2 和資源。如需詳細資訊,請參閱 [AWS 受管政策:ROSAControlPlaneOperatorPolicy](#security-iam-awsmanpol-rosacontrolplaneoperatorpolicy)。 | 2023 年 4 月 24 日 |
| ROSACloudNetworkConfigOperatorPolicy — 新增政策 | ROSA 新增了新的政策,以允許雲端網路組態控制器運算子佈建和管理 ROSA 叢集聯網浮水印的網路資源。如需詳細資訊,請參閱 [AWS 受管政策:ROSACloudNetworkConfigOperatorPolicy](#security-iam-awsmanpol-rosacloudnetworkconfigoperatorpolicy)。 | 2023 年 4 月 20 日 |
| ROSAIngressOperatorPolicy — 新增政策 | ROSA 新增了新的政策,以允許輸入運算子佈建和管理 ROSA 叢集的負載平衡器和 DNS 組態。如需詳細資訊,請參閱 [AWS 受管政策:ROSAIngressOperatorPolicy](#security-iam-awsmanpol-rosaingressoperatorpolicy)。 | 2023 年 4 月 20 日 |
| ROSAAmazonEBSCSIDriverOperatorPolicy — 新增政策 | ROSA 新增了新的政策,以允許 Amazon EBS CSI Driver Operator 在 ROSA 叢集上安裝和維護 Amazon EBS CSI 驅動程式。如需詳細資訊,請參閱 [AWS 受管政策:ROSAAmazonEBSCSIDriverOperatorPolicy](#security-iam-awsmanpol-rosaamazonebscsidriveroperatorpolicy)。 | 2023 年 4 月 20 日 |
| ROSAWorkerInstancePolicy — 新增的政策 | ROSA 新增了新的政策,以允許服務管理叢集資源。如需詳細資訊,請參閱 [AWS 受管政策:ROSAWorkerInstancePolicy](#security-iam-awsmanpol-rosaworkerinstancepolicy)。 | 2023 年 4 月 20 日 |
| ROSAManageSubscription — 新增的政策 | ROSA 新增了新的政策,以授予管理 ROSA 訂閱所需的 AWS Marketplace 許可。如需詳細資訊,請參閱 [AWS 受管政策:ROSAManageSubscription](#security-iam-awsmanpol-rosamanagesubscription)。 | 2022 年 4 月 11 日 |
| Red Hat OpenShift Service on AWS 開始追蹤變更 | Red Hat OpenShift Service on AWS 已開始追蹤其 AWS 受管政策的變更。 | 2022 年 3 月 2 日 |
# 對 ROSA 身分和存取進行故障診斷
使用以下資訊來協助您診斷和修正使用 ROSA 和 時可能遇到的常見問題 IAM。
## AWS Organizations 服務控制政策拒絕必要的 AWS Marketplace 許可
如果您的 AWS Organizations 服務控制政策 (SCP) 在嘗試啟用時不允許必要的 AWS Marketplace 訂閱許可 ROSA,會發生下列主控台錯誤。
```
An error occurred while enabling ROSA, because a service control policy (SCP) is denying required permissions. Contact your management account administrator, and consult the documentation for troubleshooting.
```
如果您收到此錯誤,則必須聯絡您的管理員尋求協助。您的管理員是管理組織帳戶的人員。請該人員執行下列動作:
1. 設定 SCP 以允許 `aws-marketplace:Subscribe`、 `aws-marketplace:Unsubscribe`和 `aws-marketplace:ViewSubscriptions`許可。如需詳細資訊,請參閱* AWS Organizations 《 使用者指南*》中的[更新 SCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_create.html#update_policy)。
1. ROSA 在組織的管理帳戶中啟用 。
1. 將 ROSA 訂閱分享給組織內需要存取的成員帳戶。如需詳細資訊,請參閱《 * AWS Marketplace 買方指南*》中的[在組織中共用訂閱](https://docs.aws.amazon.com/marketplace/latest/buyerguide/organizations-sharing.html)。
## 使用者或角色沒有必要的 AWS Marketplace 許可
如果您的 IAM 委託人在您嘗試啟用 時沒有必要的 AWS Marketplace 訂閱許可 ROSA,會發生下列主控台錯誤。
```
An error occurred while enabling ROSA, because your user or role does not have the required permissions.
```
若要解決此問題,請遵循這些步驟:
1. 前往 [IAM 主控台](https://console.aws.amazon.com/iam),並將 AWS 受`ROSAManageSubscription`管政策連接至您的 IAM 身分。如需詳細資訊,請參閱《 * AWS 受管政策參考指南*》中的 [ROSAManageSubscription](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAManageSubscription.html)。
1. 請遵循 [啟用 ROSA 和設定 AWS 先決條件](set-up.md#enable-rosa) 中的程序。
如果您沒有在 中檢視或更新許可集的許可, IAM 或是收到錯誤,則必須聯絡管理員尋求協助。要求該人員`ROSAManageSubscription`連接到 IAM 您的身分,並遵循 中的程序[啟用 ROSA 和設定 AWS 先決條件](set-up.md#enable-rosa)。當管理員執行此動作時,它會 ROSA 更新 下所有身分的許可集,以啟用 IAM AWS 帳戶。
## 管理員封鎖的必要 AWS Marketplace 許可
如果您的帳戶管理員封鎖必要的 AWS Marketplace 訂閱許可,當您嘗試啟用 時,會發生下列主控台錯誤 ROSA。
```
An error occurred while enabling ROSA because required permissions have been blocked by an administrator. ROSAManageSubscription includes the permissions required to enable ROSA. Consult the documentation and try again.
```
如果您收到此錯誤,則必須聯絡您的管理員尋求協助。請該人員執行下列動作:
1. 前往 [ROSA 主控台](https://console.aws.amazon.com/rosa),並將 AWS 受`ROSAManageSubscription`管政策連接至您的 IAM 身分。如需詳細資訊,請參閱《 * AWS 受管政策參考指南*》中的 [ROSAManageSubscription](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ROSAManageSubscription.html)。
1. 遵循 中的程序[啟用 ROSA 和設定 AWS 先決條件](set-up.md#enable-rosa)來啟用 ROSA。此程序 ROSA 會透過更新 下所有身分的許可集來啟用 IAM AWS 帳戶。
## 建立負載平衡器時發生錯誤:AccessDenied
如果您尚未建立負載平衡器,`AWSServiceRoleForElasticLoadBalacing`則服務連結角色可能不存在於您的帳戶中。如果您嘗試在帳戶中建立 叢集 沒有 `AWSServiceRoleForElasticLoadBalacing`角色的 , ROSA 會發生下列錯誤。
```
Error creating network Load Balancer: AccessDenied
```
若要解決此問題,請遵循這些步驟:
1. 檢查您的帳戶是否具有 `AWSServiceRoleForElasticLoadBalancing`角色。
```
aws iam get-role --role-name "AWSServiceRoleForElasticLoadBalancing"
```
1. 如果您沒有此角色,請遵循* Elastic Load Balancing 《 使用者指南*》中的建立[服務連結角色中的指示來建立角色](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/elb-service-linked-roles.html)。
# 中的彈性 ROSA
## AWS 全球基礎設施彈性
AWS 全球基礎設施是以 AWS 區域 和 可用區域為基礎建置。 AWS 區域 提供多個實體隔離和隔離的可用區域,這些區域透過低延遲、高輸送量和高備援聯網連接。透過可用區域,您可以設計與操作的應用程式和資料庫,在可用區域之間自動容錯移轉而不會發生中斷。可用區域的可用性、容錯能力和擴展能力,均較單一或多個資料中心的傳統基礎設施還高。
ROSA 為客戶提供在單一 AWS 可用區域中或跨多個可用區域執行 Kubernetes 控制平面和資料平面的選項。雖然單一可用區域叢集對於實驗很有用,但我們鼓勵客戶在多個可用區域中執行工作負載。這可確保應用程式甚至可以承受完整的可用區域故障,這是非常罕見的事件。
如需 AWS 區域 和可用區域的詳細資訊,請參閱 [AWS 全球基礎設施](https://aws.amazon.com/about-aws/global-infrastructure/)。
## ROSA 叢集彈性
ROSA 控制平面包含至少三個 OpenShift 控制平面節點。每個控制平面節點都由 API 伺服器執行個體、`etcd`執行個體和控制器組成。如果發生控制平面節點故障,所有 API 請求都會自動路由到其他可用的節點,以確保叢集可用性。
ROSA 資料平面至少包含兩個 OpenShift 基礎設施節點和兩個 OpenShift 工作者節點。基礎設施節點會執行支援 OpenShift 叢集基礎設施元件的 Pod,例如預設路由器、內建 OpenShift 登錄檔,以及叢集指標和監控的元件。OpenShift 工作者節點會執行最終使用者應用程式 Pod。
Red Hat 網站可靠性工程師 (SREs) 可完整管理控制平面和基礎設施節點。Red Hat SREs會主動監控 ROSA 叢集,並負責取代任何失敗的控制平面節點和基礎設施節點。如需詳細資訊,請參閱[的責任概觀 ROSA](rosa-responsibilities.md)。
**重要**
由於 ROSA 是受管服務,Red Hat 負責管理 ROSA 所使用的基礎 AWS 基礎設施。客戶不應嘗試從 AWS 主控台或 手動關閉 ROSA 使用 的 Amazon EC2 執行個體 AWS CLI。此動作可能會導致客戶資料遺失。
如果工作者節點在資料平面上失敗,控制平面會將未排程的 Pod 重新定位到正常運作的工作者節點 (直到復原或取代失敗的節點為止)。可以透過啟用叢集中機器的自動擴展來手動或自動取代失敗的工作者節點。如需詳細資訊,請參閱 Red Hat 文件中的[叢集自動調整規模](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/cluster_administration/rosa-cluster-autoscaling)。
## 客戶部署的應用程式彈性
雖然 ROSA 提供許多保護以確保服務的高可用性,但客戶仍需負責建置其部署的應用程式以獲得高可用性,以保護工作負載免於停機。如需詳細資訊,請參閱 Red Hat 文件中的[關於 的可用性 ROSA](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/introduction_to_rosa/policies-and-service-definition#about-availability-for-rosa)。
# 中的基礎設施安全 ROSA
作為受管服務, Red Hat OpenShift Service on AWS 受到 AWS 全球網路安全的保護。如需 AWS 安全服務以及如何 AWS 保護基礎設施的資訊,請參閱[AWS 雲端安全](https://aws.amazon.com/security)。若要使用基礎設施安全最佳實務來設計您的 AWS 環境,請參閱安全支柱中的[基礎設施保護](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html):Well-Architected Framework。 * AWS *
您可以使用 AWS 發佈的 API 呼叫, ROSA 透過 AWS 網路存取 。使用者端必須支援下列專案:
+ Transport Layer Security (TLS)。我們需要 TLS 1.2 並建議使用 TLS 1.3。
+ 具備完美轉送私密(PFS)的密碼套件,例如 DHE (Ephemeral Diffie-Hellman)或 ECDHE (Elliptic Curve Ephemeral Diffie-Hellman)。現代系統(如 Java 7 和更新版本)大多會支援這些模式。
此外,請求必須使用存取金鑰 ID 和與 IAM 主體相關聯的私密存取金鑰來簽署。或者,您可以透過 [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/) (AWS STS) 來產生暫時安全憑證來簽署請求。
## 叢集網路隔離
Red Hat 網站可靠性工程師 (SREs) 負責叢集和基礎應用程式平台的持續管理和網路安全。如需 之 Red Hat 責任的詳細資訊 ROSA,請參閱 [的責任概觀 ROSA](rosa-responsibilities.md)。
當您建立新的叢集時, ROSA 會提供建立公有 Kubernetes API 伺服器端點和應用程式路由或私有 Kubernetes API 端點和應用程式路由的選項。此連線用於與您的叢集通訊 (使用 OpenShift 管理工具,例如 ROSA CLI 和 OpenShift CLI)。私有連線可讓節點與 API 伺服器之間的所有通訊保持在 VPC 內。如果您啟用 API 伺服器和應用程式路由的私有存取,您必須使用現有的 VPC 和 AWS PrivateLink ,將 VPC 連線至 OpenShift 後端服務。
Kubernetes API 伺服器存取是使用 AWS Identity and Access Management (IAM) 和原生 Kubernetes 角色型存取控制 (RBAC) 的組合進行保護。如需 Kubernetes RBAC 的詳細資訊,請參閱 Kubernetes 文件中的[使用 RBAC 授權](https://kubernetes.io/docs/reference/access-authn-authz/rbac/)。
ROSA 可讓您使用多種類型的 TLS 終止來建立安全應用程式路由,以將憑證提供給用戶端。如需詳細資訊,請參閱 Red Hat 文件中的[安全路由](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/networking/configuring-routes#configuring-default-certificate)。
如果您在現有的 VPC 中建立 ROSA 叢集,您可以指定叢集要使用的 VPC 子網路和可用區域。您也可以定義叢集網路要使用的 CIDR 範圍,並將這些 CIDR 範圍與 VPC 子網路配對。如需詳細資訊,請參閱 Red Hat 文件中的 [CIDR 範圍定義](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/networking/cidr-range-definitions)。
對於使用公有 API 端點的叢集, ROSA 需要您的 VPC 針對您要部署叢集的每個可用區域設定公有和私有子網路。對於使用私有 API 端點的叢集,只需要私有子網路。
如果您使用的是現有的 VPC,您可以將 ROSA 叢集設定為在叢集建立期間或之後使用 HTTP 或 HTTPS 代理伺服器來加密叢集 Web 流量,為您的資料新增另一層安全性。當您啟用代理時,會拒絕核心叢集元件直接存取網際網路。代理不會拒絕使用者工作負載的網際網路存取。如需詳細資訊,請參閱 Red Hat 文件中的[設定整個叢集的代理](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/networking/configuring-a-cluster-wide-proxy)。
## Pod 網路隔離
如果您是叢集管理員,您可以在 Pod 層級定義網路政策,將流量限制為 ROSA 叢集中的 Pod。