2.2. user-role IAM ロールについて
Web UI ユーザーごとに ユーザーロール IAM ロールを作成して、これらのユーザーが ROSA クラスターを作成できるようにする必要があります。
user-role IAM ロールに関するいくつかの考慮事項は次のとおりです。
-
Red Hat ユーザーアカウントごとに必要な
user-roleIAM ロールは 1 つだけですが、Red Hat 組織は IAM リソースの多くを持つことができます。 -
Red Hat 組織のすべてのユーザーは、
user-roleIAM ロールを作成してリンクできます。 -
Red Hat 組織の AWS アカウントごとに多数の
user-roleIAM ロールが存在する可能性があります。 -
Red Hat は、
user-roleIAM ロールを使用してユーザーを識別します。この IAM リソースには AWS アカウントのパーミッションがありません。 -
AWS アカウントは複数の
user-roleIAM ロールを指定できますが、各 IAM ロールを Red Hat 組織の各ユーザーにリンクする必要があります。ユーザーには、リンクされたuser-roleIAM ロールを複数指定できません。
IAM リソースを AWS アカウントにリンクするまたは関連付けることは、user-role IAM ロールと Red Hat OpenShift Cluster Manager ロールを使用して信頼ポリシーを作成することを意味します。IAM リソースを作成してリンクすると、AWS の user-role IAM リソース と arn:aws:iam::710019948333:role/RH-Managed-OpenShift-Installer リソースとの信頼関係が表示されます。
2.2.1. ユーザーロール IAM ロールの作成
コマンドラインインターフェイス (CLI) を使用して、user-role IAM ロールを作成できます。
前提条件
- AWS アカウントがある。
-
インストールホストに、最新の Red Hat OpenShift Service on AWS (ROSA) CLI (
rosa) をインストールして設定している。
手順
基本的な権限を持つ
user-roleIAM ロールを作成するには、次のコマンドを実行します。$ rosa create user-role
このコマンドを使用すると、特定の属性を指定してロールを作成できます。次の出力例は、選択された自動モードを示しています。これにより、ROSA CLI (
rosa) で Operator のロールとポリシーを作成できます。詳細は、関連情報の「自動および手動のデプロイメントモードについて」を参照してください。
出力例
I: Creating User role ? Role prefix: ManagedOpenShift 1 ? Permissions boundary ARN (optional): 2 ? Role creation mode: auto 3 I: Creating ocm user role using 'arn:aws:iam::2066:user' ? Create the 'ManagedOpenShift-User.osdocs-Role' role? Yes 4 I: Created role 'ManagedOpenShift-User.osdocs-Role' with ARN 'arn:aws:iam::2066:role/ManagedOpenShift-User.osdocs-Role' I: Linking User role ? User Role ARN: arn:aws:iam::2066:role/ManagedOpenShift-User.osdocs-Role ? Link the 'arn:aws:iam::2066:role/ManagedOpenShift-User.osdocs-Role' role with account '1AGE'? Yes 5 I: Successfully linked role ARN 'arn:aws:iam::2066:role/ManagedOpenShift-User.osdocs-Role' with account '1AGE'
- 1
- 作成されたすべての AWS リソースの接頭辞値。この例では、
ManagedOpenShiftがすべての AWS リソースを付加します。 - 2
- パーミッション境界を設定するためのポリシーの Amazon Resource Name (ARN)。
- 3
- AWS ロールを作成する方法を選択します。
autoを使用して、rosa CLI ツールは AQS アカウントを生成してリンクします。autoモードでは、AWS ロールを作成するためのいくつかの異なるプロンプトが表示されます。 - 4
- auto メソッドは、接頭辞を使用して特定の
user-roleを作成するかどうかを尋ねます。 - 5
- 作成したロールを AWS 組織にリンクします。
クラスターを削除する前に user-role IAM ロールのリンクを解除または削除すると、エラーが発生してクラスターを削除できなくなります。削除プロセスを続行するには、このロールを作成または再リンクする必要があります。詳細は、削除できないクラスターの修復 を参照してください。