1.2. 認証情報モード
AWS Security Token Service (STS) は、セキュリティーが強化されているため、Red Hat OpenShift Service on AWS (ROSA) にクラスターをインストールして操作するのに推奨される認証情報モードです。
ROSA クラスターでサポートされている認証情報モードは 2 つあります。1 つは推奨される AWS Security Token Service (STS) を使用し、もう 1 つは Identity Access Management (IAM) ロールを使用します。
1.2.1. STS を使用する ROSA
AWS STS は、IAM または統合ユーザーに短期間の認証情報を提供するグローバル Web サービスです。STS を使用した ROSA は、ROSA クラスターに推奨される認証情報モードです。AWS STS と ROSA を使用して、コンポーネント固有の IAM ロールに一時的な制限付き特権の認証情報を割り当てることができます。サービスを使用すると、クラスターコンポーネントはセキュアなクラウドリソース管理プラクティスを使用して AWS API 呼び出しを実行できます。
ROSA CLI (rosa) を使用して、STS を使用する ROSA クラスターに必要な IAM ロール、ポリシー、および ID リソースを作成できます。
AWS STS は、クラウドサービスのリソース管理における最小権限と安全なプラクティスの原則に準拠しています。ROSA CLI は、固有のタスクに割り当てられた STS 認証情報を管理し、OpenShift 機能の一部として AWS リソースに対してアクションを実行します。STS を使用する際の制限の 1 つは、ROSA クラスターごとにロールを作成する必要があることです。
STS 認証情報モードは、次の理由でより安全です。
- 事前に作成した明示的で限定された一連のロールとポリシーをサポートし、要求されたすべてのパーミッションと使用されたすべてのロールを追跡します。
- サービスは、設定された権限に制限されています。
- サービスを実行すると、1 時間で有効期限が切れる認証情報を取得するため、認証情報をローテーションしたり取り消したりする必要はありません。有効期限により、認証情報の漏洩や再利用のリスクも軽減されます。
アカウント全体およびクラスターごとのロールのリストは、STS を使用する ROSA クラスターの IAM リソースについて に記載されています。
1.2.2. STS なしの ROSA
このモードでは、アカウント内に AdministratorAccess を持つ事前に作成された IAM ユーザーを使用します。このユーザーは、必要に応じて他のロールとリソースを作成するための適切な権限を持っています。このアカウントを使用して、サービスはクラスターに必要なすべてのリソースを作成します。
