Concesión de acceso a recursos de Azure Kubernetes Fleet Manager con el control de acceso basado en rol de Azure
Control de acceso basado en rol de Azure (RBAC de Azure) es un sistema de autorización basado en Azure Resource Manager que proporciona administración de acceso específica a los recursos de Azure.
En este artículo se proporciona información general sobre los distintos roles RBAC de Azure integrados que puede usar para acceder a los recursos de Azure Kubernetes Fleet Manager (Kubernetes Fleet).
Plano de control
Este rol concede acceso a recursos y subrecursos de flota de Azure Resource Manager (ARM) y es aplicable tanto al recurso de flota de Kubernetes con como sin un clúster de concentrador.
| Nombre de rol | Descripción | Uso |
|---|---|---|
| Colaborador de Azure Kubernetes Fleet Manager | Este rol concede acceso de lectura y escritura a los recursos de Azure proporcionados por Azure Kubernetes Fleet Manager, incluidas las flotas, los miembros de la flota, las estrategias de actualización de flotas, las ejecuciones de actualizaciones de flotas, etc. | Puede usar este rol para conceder permisos de colaborador que se aplican únicamente a recursos y subrecursos de Kubernetes Fleet. Por ejemplo, este rol se puede asignar a un administrador de Azure encargado de definir y mantener recursos de Flota. |
Plano de datos
Estos roles conceden acceso a objetos de Kubernetes de Fleet Hub y, por tanto, solo se aplican a los recursos de la flota de Kubernetes con un clúster de concentrador.
Puede asignar roles de plano de datos en el ámbito del clúster del centro de flotas o en un ámbito de espacio de nombres de Kubernetes individual anexando /namespace/<namespace> al ámbito de asignación de roles.
| Nombre de rol | Descripción | Uso |
|---|---|---|
| Lector de RBAC de Azure Kubernetes Fleet Manager | Concede acceso de solo lectura a la mayoría de los recursos de Kubernetes dentro de un espacio de nombres en el clúster del centro administrado por flotas. No permite la visualización de roles o enlaces de roles. Este rol no permite ver secretos, ya que leer el contenido de Secretos permite el acceso a credenciales de ServiceAccount en el espacio de nombres, lo que permitiría el acceso a la API como cualquier ServiceAccount en el espacio de nombres (una forma de escalación de privilegios). La aplicación de este rol en el ámbito del clúster proporciona acceso a todos los espacios de nombres. |
Puede usar este rol para conceder la capacidad de leer objetos de Kubernetes seleccionados que no distinguen en el espacio de nombres o en el ámbito del clúster. Por ejemplo, puede conceder este rol con fines de revisión. |
| Escritor de RBAC de Azure Kubernetes Fleet Manager | Concede acceso de lectura y escritura a la mayoría de los recursos de Kubernetes dentro de un espacio de nombres en el clúster del centro administrado por flotas. Este rol no permite la visualización o modificación de roles o enlaces de roles. Sin embargo, este rol permite acceder a secretos como cualquier ServiceAccount en el espacio de nombres, por lo que se puede usar para obtener los niveles de acceso de API de cualquier ServiceAccount en el espacio de nombres. La aplicación de este rol en el ámbito del clúster proporciona acceso a todos los espacios de nombres. |
Puede usar este rol para conceder la capacidad de escribir objetos de Kubernetes seleccionados en el espacio de nombres o en el ámbito del clúster. Por ejemplo, para su uso por parte de un equipo de proyecto responsable de los objetos de un espacio de nombres determinado. |
| Administrador de RBAC de Azure Kubernetes Fleet Manager | Concede acceso de lectura y escritura a los recursos de Kubernetes dentro de un espacio de nombres en el clúster del centro administrado por flotas. Proporciona permisos de escritura en la mayoría de los objetos de un espacio de nombres, excepto para ResourceQuota objeto y el propio objeto de espacio de nombres. La aplicación de este rol en el ámbito del clúster proporciona acceso a todos los espacios de nombres. |
Puede usar este rol para conceder la capacidad de administrar objetos de Kubernetes seleccionados (incluidos roles y enlaces de roles) en el ámbito del espacio de nombres o del clúster. Por ejemplo, para su uso por parte de un equipo de proyecto responsable de los objetos de un espacio de nombres determinado. |
| Administrador de clústeres de RBAC de Azure Kubernetes Fleet Manager | Concede acceso de lectura y escritura a todos los recursos de Kubernetes del clúster del centro administrado por flotas. | Puede usar este rol para conceder acceso a todos los objetos de Kubernetes (incluidos los CRD) en el ámbito del espacio de nombres o del clúster. |
Asignaciones de roles de ejemplo
Puede conceder roles de RBAC de Azure mediante la CLI de Azure. Por ejemplo, para crear una asignación de roles en el ámbito del clúster del centro de flota de Kubernetes:
IDENTITY=$(az ad signed-in-user show --output tsv --query id)
FLEET_ID=$(az fleet show --resource-group $GROUP --name $FLEET --output tsv --query id)
az role assignment create --role 'Azure Kubernetes Fleet Manager RBAC Reader' --assignee "$IDENTITY" --scope "$FLEET_ID"
También puede definir el ámbito de las asignaciones de roles a un espacio de nombres de Kubernetes individual. Por ejemplo, para crear una asignación de roles para un espacio de nombres predeterminado de Kubernetes Fleet Hub:
IDENTITY=$(az ad signed-in-user show --output tsv --query id)
FLEET_ID=$(az fleet show --resource-group $GROUP --name $FLEET --output tsv --query id)
az role assignment create --role 'Azure Kubernetes Fleet Manager RBAC Reader' --assignee "$IDENTITY" --scope "$FLEET_ID/namespaces/default"
Azure Kubernetes Service