Sdílet prostřednictvím

Aspekty správy identit a přístupu pro AKS

  • Článek

Tento článek obsahuje aspekty návrhu a doporučení pro správu identit a přístupu při použití služby Azure Kubernetes Service (AKS). Existuje několik aspektů správy identit a přístupu, včetně identit clusteru, identit úloh a přístupu operátorů.

Aspekty návrhu

  • Rozhodněte se, kterou identitu clusteru použít (spravovaná identita nebo instanční objekt).
  • Rozhodněte se, jak ověřit přístup ke clusteru: na základě klientských certifikátů nebo prostřednictvím ID Microsoft Entra.
  • Rozhodněte se o clusteru s více tenanty a o tom, jak nastavit řízení přístupu na základě role (RBAC) v Kubernetes.
    • Zvolte metodu izolace. Mezi metody patří obor názvů, zásady sítě (pouze azure CNI), výpočetní prostředky (fond uzlů) a cluster.
    • Určete role RBAC Kubernetes a přidělení výpočetních prostředků na tým aplikace za účelem izolace.
    • Rozhodněte se, jestli můžou aplikační týmy číst jiné úlohy ve svých clusterech nebo v jiných clusterech.
  • Určete oprávnění pro vlastní role Azure RBAC pro vaši cílovou zónu AKS.
    • Rozhodněte, jaká oprávnění jsou potřebná pro roli SRE (Site Reliability Engineering), aby se tato role mohla spravovat a řešit potíže s celým clusterem.
    • Rozhodněte, jaká oprávnění jsou potřeba pro SecOps.
    • Rozhodněte, jaká oprávnění jsou potřebná pro vlastníka cílové zóny.
    • Rozhodněte, jaká oprávnění budou týmy aplikací muset nasadit do clusteru.
  • Rozhodněte se, jestli potřebujete identity úloh (ID úloh Microsoft Entra). Možná je budete potřebovat pro služby, jako je integrace služby Azure Key Vault a Azure Cosmos DB.

Doporučení k návrhu

  • Identity clusteru
    • Použijte vlastní spravovanou identitu pro cluster AKS.
    • Definujte vlastní role Azure RBAC pro cílovou zónu AKS, abyste zjednodušili správu požadovaných oprávnění pro identitu spravovanou clusterem.
  • Přístup ke clusteru
    • Pomocí RBAC Kubernetes s ID Microsoft Entra omezte oprávnění a minimalizujte oprávnění správce. Pomáhá tak chránit konfiguraci a přístup k tajným kódům.
    • Použijte integraci Microsoft Entra spravovanou službou AKS, abyste mohli k ověřování a operátorovi a přístupu pro vývojáře použít ID Microsoft Entra.
  • Definujte požadované role RBAC a vazby rolí v Kubernetes.
    • Role a vazby rolí Kubernetes použijte ke skupinám Microsoft Entra pro přípravu spolehlivosti webů (SRE), SecOps a přístup pro vývojáře.
    • Zvažte použití Azure RBAC pro Kubernetes, které umožňuje jednotnou správu a řízení přístupu napříč prostředky Azure, AKS a prostředky Kubernetes. Pokud je služba Azure RBAC pro Kubernetes povolená, nemusíte samostatně spravovat identity uživatelů a přihlašovací údaje pro Kubernetes. Objekty zabezpečení Microsoft Entra budou výhradně ověřeny Azure RBAC, ale běžné uživatele a účty služby Kubernetes budou výhradně ověřeny RBAC Kubernetes.
  • Podle potřeby udělte SRE úplný přístup za běhu.
  • Použijte ID úloh Microsoft Entra pro Kubernetes. Při implementaci této federace můžou vývojáři používat nativní účty služby Kubernetes a federaci pro přístup k prostředkům spravovaným pomocí Microsoft Entra ID, jako je Azure a Microsoft Graph.