Considérations relatives à la gestion des identités et des accès pour Azure Red Hat OpenShift
La gestion des identités et des accès est un élément essentiel des paramètres de sécurité d’une organisation quand elle déploie l’accélérateur de zone d’atterrissage Azure Red Hat OpenShift. La gestion des identités et des accès couvre plusieurs aspects tels que les identités de cluster, les identités de charge de travail et l’accès opérateur.
Utilisez ces considérations et recommandations relatives à la conception pour créer un plan de gestion des identités et des accès qui répond aux exigences de votre organisation dans votre déploiement Azure Red Hat OpenShift.
Remarques relatives à la conception
- Décidez comment créer et gérer votre principal de service et déterminez les autorisations dont il doit disposer pour l’identité de cluster Azure Red Hat OpenShift :
- Créez le principal de service et attribuez manuellement des autorisations.
- Créez automatiquement le principal de service et attribuez des autorisations quand vous créez le cluster.
- Décidez comment authentifier l’accès au cluster :
- Certificats clients
- Microsoft Entra ID
- Choisissez un cluster multilocataire et la configuration du contrôle d’accès en fonction du rôle (RBAC) dans votre cluster Azure Red Hat OpenShift.
- Décidez d’une méthode à utiliser pour l’isolation : projets Red Hat OpenShift, stratégie réseau ou cluster.
- Décidez des projets OpenShift, des rôles de projet, des rôles de cluster et de l’allocation de calcul par équipe d’application pour l’isolation.
- Décidez si les équipes d’application peuvent lire d’autres projets OpenShift dans leur cluster.
- Décidez des rôles Azure RBAC personnalisés pour votre zone d’atterrissage Azure Red Hat OpenShift.
- Décidez des autorisations nécessaires pour le rôle SRE (Site Reliability Engineering) afin d’administrer et de dépanner l’ensemble du cluster.
- Décidez des autorisations nécessaires pour les opérations de sécurité (SecOps).
- Décidez des autorisations nécessaires pour le propriétaire de la zone d’atterrissage.
- Décidez des autorisations nécessaires pour que les équipes d’application se déploient sur le cluster.
- Décidez comment stocker des secrets et des informations sensibles dans votre cluster. Vous pouvez stocker des secrets et des informations sensibles en tant que secrets Kubernetes encodés en Base64 ou utiliser un fournisseur de magasin de secrets tel que le Fournisseur Azure Key Vault pour Secrets Store CSI Driver.
Recommandations de conception
- Identités de cluster
- Créez un principal de service et définissez les rôles Azure RBAC personnalisés pour votre zone d’atterrissage Azure Red Hat OpenShift. Les rôles simplifient la gestion des autorisations pour votre principal de service de cluster Azure Red Hat OpenShift.
- Accès au cluster
- Configurez l’intégration de Microsoft Entra pour utiliser Microsoft Entra ID pour authentifier les utilisateurs dans votre cluster Azure Red Hat OpenShift.
- Définissez des projets OpenShift pour restreindre le privilège RBAC et isoler les charges de travail dans votre cluster.
- Définissez les rôles RBAC nécessaires dans OpenShift qui sont délimités à une étendue de projet local ou à une étendue de cluster.
- Utilisez Azure Red Hat OpenShift pour créer des liaisons de rôle liées à des groupes Microsoft Entra pour l’accès SRE, SecOps et développeur.
- Utilisez Azure Red Hat OpenShift avec Microsoft Entra ID pour limiter les droits des utilisateurs et minimiser le nombre d’utilisateurs disposant de droits d’administrateur. La limitation des droits de l’utilisateur protège l’accès à la configuration et aux secrets.
- Accordez un accès complet uniquement en cas de besoin et juste-à-temps. Utilisez Privileged Identity Management dans Microsoft Entra ID et la gestion des identités et des accès dans les zones d’atterrissage Azure.
- Charges de travail de cluster
- Pour les applications nécessitant un accès à des informations sensibles, utilisez un principal de service et le Fournisseur Azure Key Vault pour Secret Store CSI Driver afin de monter les secrets stockés dans Azure Key Vault sur vos pods.
Étapes suivantes
Topologie et connectivité réseau pour Azure Red Hat OpenShift