Überlegungen zur Identitäts- und Zugriffsverwaltung für Azure Red Hat OpenShift
Identitäts- und Zugriffsverwaltung ist ein wichtiger Bestandteil der Sicherheitseinstellungen einer Organisation, wenn sie den Azure Red Hat OpenShift-Zielzonenbeschleuniger bereitstellt. Die Identitäts- und Zugriffsverwaltung umfasst Aspekte wie Clusteridentitäten, Workloadidentitäten und den Operatorzugriff.
Verwenden Sie diese Entwurfsüberlegungen und Empfehlungen, um einen Plan für die Identitäts- und Zugriffsverwaltung zu erstellen, der den Anforderungen Ihrer Organisation in Ihrer Azure Red Hat OpenShift-Bereitstellung entspricht.
Überlegungen zum Entwurf
- Entscheiden Sie, wie Sie Ihren Dienstprinzipal und die Berechtigungen erstellen und verwalten, die der Dienstprinzipal für die Azure Red Hat OpenShift-Clusteridentität benötigt:
- Erstellen des Dienstprinzipals und manuelles Zuweisen von Berechtigungen
- Automatisches Erstellen des Dienstprinzipals und Zuweisen von Berechtigungen beim Erstellen des Clusters
- Legen Sie fest, wie der Clusterzugriff authentifiziert werden soll:
- Clientzertifikate
- Microsoft Entra ID
- Entscheiden Sie sich für einen mehrinstanzenfähigen Cluster, und legen Sie fest, wie Sie die rollenbasierte Zugriffssteuerung (RBAC, Role-Based Access Control) im Azure Red Hat OpenShift-Cluster einrichten möchten.
- Entscheiden Sie sich für eine Isolationsmethode: Red Hat OpenShift-Projekte, Netzwerkrichtlinie oder Cluster.
- Entscheiden Sie sich für die OpenShift-Projekte, Projektrollen, Clusterrollen und die Computezuweisung pro Anwendungsteam für die Isolation.
- Entscheiden Sie, ob Anwendungsteams andere OpenShift-Projekte in ihrem Cluster lesen können.
- Entscheiden Sie sich für benutzerdefinierte Azure RBAC-Rollen für Ihre Azure Red Hat OpenShift-Zielzone.
- Entscheiden Sie, welche Berechtigungen für die SRE-Rolle (Site Reliability Engineering, Sitezuverlässigkeits-Entwicklung) erforderlich sind, um den gesamten Cluster zu verwalten und Probleme für diesen zu beheben.
- Entscheiden Sie, welche Berechtigungen für Sicherheitsvorgänge (Security Operations, SecOps) erforderlich sind.
- Entscheiden Sie, welche Berechtigungen für den Besitzer der Zielzone benötigt werden.
- Entscheiden Sie, welche Berechtigungen erforderlich sind, damit die Anwendungsteams Bereitstellungen im Cluster durchführen können.
- Entscheiden Sie, wie Geheimnisse und vertrauliche Informationen in Ihrem Cluster gespeichert werden sollen. Sie können Geheimnisse und vertrauliche Informationen als Base64-codierte Kubernetes-Geheimnisse speichern oder einen Geheimnisspeicheranbieter wie Azure Key Vault-Anbieter für den Secrets Store CSI-Treiber verwenden.
Entwurfsempfehlungen
- Clusteridentitäten
- Erstellen Sie einen Dienstprinzipal, und definieren Sie die benutzerdefinierten Azure RBAC-Rollen für Ihre Azure Red Hat OpenShift-Zielzone. Rollen vereinfachen die Verwaltung von Berechtigungen für den Dienstprinzipal Ihres Azure Red Hat OpenShift-Clusters.
- Clusterzugriff
- Konfigurieren Sie die Microsoft Entra-Integration, um Microsoft Entra ID zum Authentifizieren von Benutzer*innen in Ihrem Azure Red Hat OpenShift-Cluster zu verwenden.
- Definieren Sie OpenShift-Projekte, um RBAC-Berechtigungen einzuschränken und Workloads in Ihrem Cluster zu isolieren.
- Definieren Sie die erforderlichen RBAC-Rollen in OpenShift, die entweder für einen lokalen Projektbereich oder einen Clusterbereich gelten.
- Verwenden Sie Azure Red Hat OpenShift, um Rollenbindungen zu erstellen, die an Microsoft Entra-Gruppen für SRE, SecOps und Entwicklerzugriff gebunden sind.
- Verwenden Sie Azure Red Hat OpenShift mit Microsoft Entra ID, um Benutzerrechte einzuschränken und die Anzahl der Benutzer*innen mit Administratorrechten zu minimieren. Das Einschränken von Benutzerrechten schützt den Zugriff auf die Konfiguration und auf Geheimnisse.
- Gewähren Sie Vollzugriff nur bei Bedarf Just-In-Time. Verwenden Sie Privileged Identity Management in Microsoft Entra ID sowie die Identitäts- und Zugriffsverwaltung in Azure-Zielzonen.
- Clusterworkloads
- Für Anwendungen, die Zugriff auf vertrauliche Informationen benötigen, verwenden Sie einen Dienstprinzipal und den Azure Key Vault-Anbieter für den Secret Store CSI-Treiber, um in Azure Key Vault gespeicherte Geheimnisse in Ihren Pods bereitzustellen.
Nächste Schritte
Netzwerktopologie und Konnektivität für Azure Red Hat OpenShift