Sdílet prostřednictvím

Aspekty správy identit a přístupu pro Azure Red Hat OpenShift

  • Článek

Správa identit a přístupu je klíčovou součástí nastavení zabezpečení organizace při nasazování akcelerátoru cílové zóny Azure Red Hat OpenShift. Správa identit a přístupu zahrnuje oblasti, jako jsou identity clusteru, identity úloh a přístup operátorů.

Tyto aspekty návrhu a doporučení použijte k vytvoření plánu správy identit a přístupu, který splňuje požadavky vaší organizace v nasazení Azure Red Hat OpenShift.

Aspekty návrhu

  • Rozhodněte se, jak vytvořit a spravovat instanční objekt a jaká oprávnění musí mít pro identitu clusteru Azure Red Hat OpenShift:
    • Vytvořte instanční objekt a ručně přiřaďte oprávnění.
    • Automaticky vytvořte instanční objekt a přiřaďte oprávnění při vytváření clusteru.
  • Rozhodněte se, jak ověřit přístup ke clusteru:
  • Rozhodněte se o clusteru s více tenanty a o tom, jak nastavit řízení přístupu na základě role (RBAC) v clusteru Azure Red Hat OpenShift.
    • Rozhodněte se o metodě, která se má použít pro izolaci: projekty Red Hat OpenShift, zásady sítě nebo cluster.
    • Rozhodněte se o projektech OpenShift, rolích projektu, rolích clusteru a přidělení výpočetních prostředků na tým aplikace pro izolaci.
    • Rozhodněte se, jestli můžou aplikační týmy číst další projekty OpenShift ve svém clusteru.
  • Rozhodněte se o vlastních rolích Azure RBAC pro cílovou zónu Azure Red Hat OpenShift.
    • Rozhodněte, jaká oprávnění se vyžadují pro roli SRE (Site Reliability Engineering) pro správu celého clusteru a řešení souvisejících potíží.
    • Rozhodněte, jaká oprávnění se vyžadují pro operace zabezpečení (SecOps).
    • Rozhodněte, jaká oprávnění se vyžadují pro vlastníka cílové zóny.
    • Rozhodněte, jaká oprávnění mají týmy aplikací nasadit do clusteru.
  • Rozhodněte se, jak ukládat tajné kódy a citlivé informace do clusteru. Tajné kódy a citlivé informace můžete ukládat jako tajné kódy Kubernetes s kódováním Base64 nebo můžete použít poskytovatele úložiště tajných kódů, jako je poskytovatel služby Azure Key Vault pro ovladač CSI úložiště tajných kódů.

Doporučení k návrhu

  • Identity clusteru
    • Vytvořte instanční objekt a definujte vlastní role Azure RBAC pro cílovou zónu Azure Red Hat OpenShift. Role zjednodušují správu oprávnění pro instanční objekt clusteru Azure Red Hat OpenShift.
  • Přístup ke clusteru
    • Nakonfigurujte integraci Microsoft Entra tak, aby používalo ID Microsoft Entra k ověřování uživatelů v clusteru Azure Red Hat OpenShift.
    • Definujte projekty OpenShift, abyste omezili oprávnění RBAC a izolovali úlohy v clusteru.
    • Definujte požadované role RBAC v OpenShiftu, které jsou vymezeny buď na obor místního projektu, nebo na obor clusteru.
    • Pomocí Azure Red Hat OpenShiftu můžete vytvářet vazby rolí, které jsou svázané se skupinami Microsoft Entra pro přístup k SRE, SecOps a vývojářům.
    • Pomocí Azure Red Hat OpenShiftu s Microsoft Entra ID omezte uživatelská práva a minimalizujte počet uživatelů, kteří mají práva správce. Omezení uživatelských práv chrání konfiguraci a přístup k tajným kódům.
    • Dejte úplný přístup pouze podle potřeby a za běhu. Použití Privileged Identity Management v Microsoft Entra ID a správě identit a přístupu v cílových zónách Azure.
  • Úlohy clusteru
    • Pro aplikace, které vyžadují přístup k citlivým informacím, použijte instanční objekt a zprostředkovatele služby Azure Key Vault pro ovladač CSI úložiště tajných kódů pro připojení tajných kódů uložených ve službě Azure Key Vault k vašim podům.

Další kroky

Síťová topologie a možnosti připojení pro Azure Red Hat OpenShift