1.2. 凭证模式
AWS 安全令牌服务 (STS) 是推荐的凭证模式,用于安装 Red Hat OpenShift Service on AWS (ROSA) 集群并与之交互,因为它提供了增强的安全性。
ROSA 集群支持两种凭证模式。一个使用 AWS 安全令牌服务 (STS),这是推荐的方法,另一个使用 Identity Access Management (IAM) 角色。
1.2.1. 使用 STS 的 ROSA
AWS STS 是一个全局 Web 服务,它为 IAM 或联邦用户提供简短凭证。使用 STS 的 ROSA 是 ROSA 集群的建议凭证模式。您可以在 ROSA 上将 AWS STS 与 Red Hat OpenShift Service 搭配使用,为组件特定的 IAM 角色分配临时的、有有限权限的凭证。该服务可让集群组件使用安全云资源管理实践来发出 AWS API 调用。
您可以使用 ROSA CLI (rosa)创建使用 STS 的 ROSA 集群所需的 IAM 角色、策略和身份提供程序资源。
AWS STS 与云服务资源管理中至少特权和安全实践的原则一致。ROSA CLI 管理为唯一任务分配的 STS 凭证,并在 AWS 资源上执行作为 OpenShift 功能的一部分的操作。使用 STS 的一个限制是必须为每个 ROSA 集群创建角色。
STS 凭证模式更安全,因为:
- 它支持提前创建的明确和有限的一组角色和策略,并跟踪每个请求的权限以及所使用的每个角色。
- 该服务仅限于设置的权限。
- 当服务运行时,它会获取在一小时内过期的凭证,因此无需轮转或撤销凭证。过期还会降低凭证泄漏和重复使用的风险。
关于关于使用 STS 的 ROSA 集群的 IAM 资源 中提供了集群范围的和针对每个集群角色的列表。
1.2.2. 不使用 STS 的 ROSA
此模式利用了预先创建的带有账户内的 AdministratorAccess 的 IAM 用户,它具有正确权限,可以在需要时创建其他角色和资源。使用此帐户创建集群所需的所有资源。
