Menu Close

8.3. アカウント全体の IAM リソースを削除する

アカウント全体の AWS Identity and Access Management (IAM) リソースに依存する AWS Security Token Services (STS) クラスターを使用してすべての Red Hat OpenShift Service on AWS (ROSA) を削除した後、アカウント全体のリソースを削除できます。

Red Hat OpenShift Cluster Manager を使用して STS クラスターで ROSA をインストールする必要がなくなった場合は、OpenShift Cluster Manager とユーザー IAM ロールを削除することもできます。

重要

アカウント全体の IAM ロールおよびポリシーは、同じ AWS アカウントの他の ROSA クラスターによって使用される可能性があります。他のクラスターで必要とされていない場合に限り、リソースを削除する必要があります。

OpenShift Cluster Manager を使用して同じ AWS アカウントに他の ROSA クラスターをインストールおよび管理する場合は、OpenShift Cluster Manager とユーザー IAM ロールが必要です。OpenShift Cluster Manager を使用してアカウントに ROSA クラスターをインストールする必要がなくなった場合にのみ、ロールを削除する必要があります。

8.3.1. アカウント全体の IAM ロールとポリシーの削除

このセクションでは、STS デプロイメントで ROSA 用に作成したアカウント全体の IAM ロールおよびポリシーを削除する手順について説明します。また、アカウント全体の Operator ポリシーと共にこれを実行します。アカウント全体の AWS Identityentityand Access Management (IAM) のロールとポリシーを削除できるのは、それらに依存する AWS Security Token Services (STS) クラスターを備えたすべての Red Hat OpenShift Service on AWS (ROSA) を削除した後でのみです。

重要

アカウント全体の IAM ロールおよびポリシーは、同じ AWS アカウントの他の ROSA クラスターによって使用される可能性があります。他のクラスターで必要とされていない場合に限り、ロールを削除する必要があります。

前提条件

  • ROSA クラスターをインストールしました。
  • インストールホストに、最新の ROSA CLI (rosa) をインストールして設定している。

手順

  1. アカウント全体のロールを削除します。

    1. ROSA CLI (rosa) を使用して、AWS アカウントのアカウント全体のロールを一覧表示します。

      $ rosa list account-roles

      出力例

      I: Fetching account roles
      ROLE NAME                           ROLE TYPE      ROLE ARN                                                           OPENSHIFT VERSION
      ManagedOpenShift-ControlPlane-Role  Control plane  arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-ControlPlane-Role  4.10
      ManagedOpenShift-Installer-Role     Installer      arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Installer-Role     4.10
      ManagedOpenShift-Support-Role       Support        arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Support-Role       4.10
      ManagedOpenShift-Worker-Role        Worker         arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Worker-Role        4.10

    2. アカウント全体のロールを削除します。

      $ rosa delete account-roles --prefix <prefix> --mode auto 1
      1
      その際、--<prefix> 引数を含める必要があります。<prefix> を削除するアカウント全体のロールのプレフィックスに置き換えてください。アカウント全体のロールを作成したときにカスタムプレフィックスを指定しなかった場合は、デフォルトのプレフィックスである ManagedOpenShift を指定します。
      重要

      アカウント全体の IAM ロールは、同じ AWS アカウント内の他の ROSA クラスターによって使用される場合があります。他のクラスターで必要とされていない場合に限り、ロールを削除する必要があります。

  2. アカウント全体のインラインポリシーと Operator ポリシーを削除します。

    1. AWS IAM ConsolePolicies ページで、アカウント全体のロールとポリシーを作成したときに指定した接頭辞でポリシーのリストをフィルタリングします。

      注記

      アカウント全体のロールを作成したときにカスタムプレフィックスを指定しなかった場合は、デフォルトのプレフィックスである ManagedOpenShift を検索します。

    2. AWS IAM Console を使用して、アカウント全体のインラインポリシーと Operator ポリシーを削除します。AWS IAM コンソールを使用して IAM ポリシーを削除する方法の詳細は、AWS ドキュメントの IAM ポリシーの削除を参照してください。

      重要

      アカウント全体のインラインおよび Operator IAM ポリシーは、同じ AWS アカウント内の他の ROSA クラスターによって使用される場合があります。他のクラスターで必要とされていない場合に限り、ロールを削除する必要があります。