2.2. 关于 user-role IAM 角色

您需要为每个 Web UI 用户创建一个用户角色 IAM 角色,以便这些用户能够创建 ROSA 集群。

您的 user-role IAM 角色的一些注意事项:

  • 每个红帽用户帐户只需要一个 user-role IAM 角色,但您的红帽机构可以有许多 IAM 资源。
  • 红帽机构中的任何用户都可以创建并链接用户角色 IAM 角色
  • 每个 Red Hat 机构每个 AWS 帐户可以有很多用户角色 IAM 角色
  • 红帽使用 user-role IAM 角色来识别用户。此 IAM 资源没有 AWS 帐户权限。
  • 您的 AWS 帐户可以有多个 user-role IAM 角色,但您必须将每个 IAM 角色链接到您的红帽机构中的每个用户。用户不能有多个链接的 user-role IAM 角色。
注意

将 IAM 资源与 AWS 帐户链接"链接"或"关联"您的 IAM 资源意味着使用您的 用户角色 IAM 角色和 Red Hat OpenShift Cluster Manager AWS 角色创建一个 trust- policy。创建并连接此 IAM 资源后,您会看到 AWS 中的 user-role IAM 角色与 arn:aws:iam::710019948333:role/RH-Managed-OpenShift-Installer 资源之间的信任关系。

2.2.1. 创建 user-role IAM 角色

您可以使用命令行界面(CLI)创建 user-role IAM 角色。

前提条件

  • 您有一个 AWS 帐户。
  • 您已在安装主机上安装并配置了最新的 Red Hat OpenShift Service on AWS (ROSA) CLI rosa

流程

  • 要使用基本权限创建 user-role IAM 角色,请运行以下命令: 

    $ rosa create user-role

    此命令允许您通过指定特定属性来创建角色。以下示例输出显示选择了"自动模式",它允许 ROSA CLI (rosa)创建 Operator 角色和策略。如需更多信息,请参阅附加资源中的"了解自动和手动部署模式"。

输出示例

I: Creating User role
? Role prefix: ManagedOpenShift 1
? Permissions boundary ARN (optional): 2
? Role creation mode: auto 3
I: Creating ocm user role using 'arn:aws:iam::2066:user'
? Create the 'ManagedOpenShift-User.osdocs-Role' role? Yes 4
I: Created role 'ManagedOpenShift-User.osdocs-Role' with ARN 'arn:aws:iam::2066:role/ManagedOpenShift-User.osdocs-Role'
I: Linking User role
? User Role ARN: arn:aws:iam::2066:role/ManagedOpenShift-User.osdocs-Role
? Link the 'arn:aws:iam::2066:role/ManagedOpenShift-User.osdocs-Role' role with account '1AGE'? Yes 5
I: Successfully linked role ARN 'arn:aws:iam::2066:role/ManagedOpenShift-User.osdocs-Role' with account '1AGE'

1
所有创建的 AWS 资源的前缀值。在本例中,ManagedOpenShift 会预先填充所有 AWS 资源。
2
用于设置权限边界的策略的 Amazon 资源名称 (ARN)。
3
选择如何创建 AWS 角色的方法。使用 auto 时,ROSA CLI 生成角色,并将角色链接到 AWS 帐户。在 auto 模式中,您收到一些不同的提示来创建 AWS 角色。
4
auto 方法询问您是否要使用您的前缀创建特定的 user-role
5
将创建的角色与 AWS 组织相关联。
重要

如果您在删除集群前取消链接或删除 user-role IAM 角色,则会阻止您删除集群。您必须创建或修改此角色才能继续删除过程。如需更多信息 ,请参阅修复无法删除的集群