ROSA の OIDC-config: セキュリティー意識

この記事は、oidc-config ワークフローを使用して ROSA クラスターをデプロイするお客様向けの補足ドキュメントとして機能します。これは、HCP を使用した ROSA、Terraform を使用した ROSA デプロイ、および共有 VPC を使用してデプロイされた ROSA のデフォルトオプションです。

OIDC 設定ワークフローとは何ですか?公式ドキュメントを参照してください
つまり、このワークフローにより、柔軟性が向上し、ROSA クラスター (AWS STS を使用する) の理想的なクラスターデプロイシーケンスが可能になります。

ROSA クラスターを導入するお客様は、次の点に注意する必要があります。
- OIDC-config ワークフローは安全であり、単一の AWS アカウント内の単一の ROSA クラスターで使用することを目的としています。
- OIDC-config ワークフローを誤用または誤解すると、クラスター間で ID の偽装が可能になる可能性があります。
- 影響を理解せずに、追加のクラスターに OIDC プロバイダーを再利用すると、次の可能性が生じます。
- クラスターは相互に偽装できるようになります。
- クラスターは、別のクラスターを対象とした AWS IAM 認証情報を取得できます。
- 同じ OIDC 設定を共有するすべてのクラスターに対して単一の秘密キーが生成されます。

懸念や質問がある場合は、お気軽にサポートケースを開いてください。