第2章 AWS インフラストラクチャーへのアクセス

Amazon Web Services (AWS) インフラストラクチャーアクセスにより、Customer Portal Organization Administrator およびクラスターの所有者は AWS Identity and Access Management (IAM) ユーザーに OpenShift Dedicated クラスターの AWS 管理コンソールへのフェデレーションアクセスを持たせることができます。管理者は、ネットワーク管理または読み取り専用アクセスのオプションを選択できます。

2.1. AWS インフラストラクチャーアクセスの設定

前提条件

  • IAM パーミッションを持つ AWS アカウント。

2.1.1. IAM パーミッションを持つ AWS アカウントの作成

AWS インフラストラクチャーへのアクセスを設定する前に、AWS アカウントで IAM パーミッションを設定する必要があります。

手順

  1. AWS アカウントにログインします。必要な場合は、AWS ドキュメントに従って新規 AWS アカウントを作成できます。
  2. AWS アカウントで STS:AllowAssumeRole パーミッションを持つ IAM ユーザーを作成します。

    1. AWS 管理コンソールの IAM ダッシュボードを開きます。
    2. Policies セクションで、 Create Policy をクリックします。
    3. JSON タブを選択し、既存のテキストを以下に置き換えます。

        {
          "Version": "2012-10-17",
          "Statement": [
              {
                  "Effect": "Allow",
                  "Action": "sts:AssumeRole",
                  "Resource": "*"
              }
          ]
        }
    4. Review Policy をクリックします。
    5. 適切な名前および説明を指定してから Create Policy をクリックします。
    6. Users セクションで、Add plan をクリックします。
    7. 適切なユーザー名を指定します。
    8. 必要に応じて AWS 管理コンソールアクセス および他のロールを選択します。
    9. 組織に必要なパスワード要件を調整してから Next: Policy をクリックします。
    10. Attach existing policies directly オプションをクリックします。
    11. 直前の手順で作成したポリシーを検索し、確認します。

      注記

      パーミッションの境界を設定することは推奨されていません。

    12. Next: Tags をクリックしてから Next: Review をクリックします。設定が正しいことを確認します。
    13. Create user をクリックしてから、成功したことを示すページで Close をクリックします。
  3. IAM ユーザーの Amazon Resource Name (ARN) を収集します。ARN の形式は arn:aws:iam::000111222333:user/username のようになります。

2.1.2. OpenShift Cluster Manager からの IAM ロールの付与

手順

  1. ブラウザーで OpenShift Dedicated Cluster Manager を開き、AWS インフラストラクチャーアクセスを許可するクラスターを選択します。
  2. Access control タブを選択し、 AWS Infrastructure Access セクションにスクロールします。
  3. AWS IAM ARN を貼り付け、Network Management または Read-only パーミッションを選択してから Grant role をクリックします。
  4. AWS OSD Console の URL をクリップボードにコピーします。
  5. アカウント ID またはエイリアス、IAM ユーザー名、およびパスワードを使用して AWS アカウントにサインインします。
  6. 新規のブラウザータブで、AWS Switch Role ページにルート指定するために使用される AWS OSD Console URL を貼り付けます。
  7. アカウント番号とロールはすでに入力されています。必要な場合は表示名を選択してから Switch Role をクリックします。これで、VPCRecently visited services の下に表示されます。