Udělení přístupu k prostředkům Azure Kubernetes Fleet Manageru pomocí řízení přístupu na základě role v Azure
Řízení přístupu na základě role v Azure (Azure RBAC) je autorizační systém založený na Azure Resource Manageru, který poskytuje jemně odstupňovanou správu přístupu k prostředkům Azure.
Tento článek obsahuje přehled různých předdefinovaných rolí Azure RBAC, které můžete použít pro přístup k prostředkům Azure Kubernetes Fleet Manageru (Kubernetes Fleet).
Řídicí rovina
Tato role uděluje přístup k prostředkům a podsourcům flotily Azure Resource Manageru (ARM) a je použitelná jak k prostředkům flotily Kubernetes, tak bez clusteru centra.
| Název role | Popis | Použití |
|---|---|---|
| Přispěvatel Azure Kubernetes Fleet Manageru | Tato role uděluje přístup ke čtení a zápisu k prostředkům Azure, které poskytuje Azure Kubernetes Fleet Manager, včetně flotil, členů vozového parku, strategií aktualizací vozového parku, spuštění aktualizací vozového parku a dalších. | Tuto roli můžete použít k udělení oprávnění přispěvatele, která se vztahují výhradně na prostředky a podsourcy Kubernetes Fleet. Tuto roli může například udělit správce Azure, který má za úkol definovat a udržovat prostředky flotily. |
Rovina dat
Tyto role udělují přístup k objektům Kubernetes centra Fleet, a proto se vztahují pouze na prostředky Kubernetes Fleet s clusterem centra.
Role roviny dat můžete přiřadit v oboru clusteru Fleet Hub nebo v individuálním oboru názvů Kubernetes připojením /namespace/<namespace> k oboru přiřazení role.
| Název role | Popis | Použití |
|---|---|---|
| Čtenář RBAC v Azure Kubernetes Fleet Manageru | Uděluje přístup jen pro čtení k většině prostředků Kubernetes v rámci oboru názvů v clusteru centra spravovaného vozovým parkem. Nepovoluje zobrazování rolí nebo vazeb rolí. Tato role neumožňuje zobrazování tajných kódů, protože čtení obsahu tajných kódů umožňuje přístup k ServiceAccount přihlašovacím údajům v oboru názvů, což by umožnilo přístup rozhraní API jako jakýkoliv ServiceAccount v oboru názvů (forma eskalace oprávnění). Použití této role v oboru clusteru poskytuje přístup napříč všemi obory názvů. |
Tuto roli můžete použít k udělení možnosti čtení vybraných nesmyslných objektů Kubernetes v oboru názvů nebo oboru clusteru. Tuto roli můžete například udělit pro účely kontroly. |
| Azure Kubernetes Fleet Manager – zapisovač RBAC | Uděluje přístup ke čtení a zápisu většině prostředků Kubernetes v rámci oboru názvů v clusteru centra spravovaného vozovým parkem. Tato role neumožňuje zobrazení nebo úpravy rolí nebo vazeb rolí. Tato role ale umožňuje přístup k tajným kódům jako všem ServiceAccount v oboru názvů, takže ho můžete použít k získání úrovní přístupu rozhraní API libovolného ServiceAccount v oboru názvů. Použití této role v oboru clusteru poskytuje přístup napříč všemi obory názvů. |
Pomocí této role můžete udělit možnost psát vybrané objekty Kubernetes v oboru názvů nebo v oboru clusteru. Například pro použití projektovým týmem zodpovědným za objekty v daném oboru názvů. |
| Správce RBAC v Azure Kubernetes Fleet Manageru | Uděluje přístup pro čtení a zápis k prostředkům Kubernetes v rámci oboru názvů v clusteru centra spravovaného vozovým parkem. Poskytuje oprávnění k zápisu u většiny objektů v rámci oboru názvů s výjimkou ResourceQuota objektu a samotného objektu oboru názvů. Použití této role v oboru clusteru poskytuje přístup napříč všemi obory názvů. |
Pomocí této role můžete udělit možnost spravovat vybrané objekty Kubernetes (včetně rolí a vazeb rolí) v oboru názvů nebo v oboru clusteru. Například pro použití projektovým týmem zodpovědným za objekty v daném oboru názvů. |
| Správce clusteru RBAC v Azure Kubernetes Fleet Manageru | Uděluje přístup pro čtení a zápis ke všem prostředkům Kubernetes v clusteru centra spravovaného vozovým parkem. | Tuto roli můžete použít k udělení přístupu ke všem objektům Kubernetes (včetně CRD) v oboru názvů nebo oboru clusteru. |
Příklad přiřazení rolí
Role Azure RBAC můžete udělit pomocí Azure CLI. Pokud například chcete vytvořit přiřazení role v oboru clusteru Centra flotily Kubernetes:
IDENTITY=$(az ad signed-in-user show --output tsv --query id)
FLEET_ID=$(az fleet show --resource-group $GROUP --name $FLEET --output tsv --query id)
az role assignment create --role 'Azure Kubernetes Fleet Manager RBAC Reader' --assignee "$IDENTITY" --scope "$FLEET_ID"
Přiřazení rolí můžete také vymezit na jednotlivé obory názvů Kubernetes. Pokud chcete například vytvořit přiřazení role pro výchozí obor názvů Kubernetes Fleet Hubu Kubernetes:
IDENTITY=$(az ad signed-in-user show --output tsv --query id)
FLEET_ID=$(az fleet show --resource-group $GROUP --name $FLEET --output tsv --query id)
az role assignment create --role 'Azure Kubernetes Fleet Manager RBAC Reader' --assignee "$IDENTITY" --scope "$FLEET_ID/namespaces/default"
Azure Kubernetes Service