Condividi tramite

Considerazioni sulla gestione delle identità e degli accessi per Azure Red Hat OpenShift

  • Articolo

La gestione delle identità e degli accessi è una parte fondamentale delle impostazioni di sicurezza di un'organizzazione quando distribuisce l'acceleratore di zona di destinazione di Azure Red Hat OpenShift. La gestione delle identità e degli accessi include aree come identità del cluster, identità del carico di lavoro e accesso degli operatori.

Usare queste considerazioni e consigli di progettazione per creare un piano di gestione delle identità e degli accessi che soddisfi i requisiti dell'organizzazione nella distribuzione di Azure Red Hat OpenShift.

Considerazioni relative alla progettazione

  • Decidere come creare e gestire l'entità servizio e le autorizzazioni necessarie per l'identità del cluster Azure Red Hat OpenShift:
    • Creare l'entità servizio e assegnare manualmente le autorizzazioni.
    • Creare automaticamente l'entità servizio e assegnare le autorizzazioni quando si crea il cluster.
  • Decidere come autenticare l'accesso al cluster:
  • Decidere in un cluster multi-tenancy e come configurare il controllo degli accessi in base al ruolo nel cluster Azure Red Hat OpenShift.
    • Scegliere un metodo da usare per l'isolamento: progetti Red Hat OpenShift, criteri di rete o cluster.
    • Decidere i progetti OpenShift, i ruoli del progetto, i ruoli del cluster e l'allocazione di calcolo per ogni team dell'applicazione per l'isolamento.
    • Decidere se i team dell'applicazione possono leggere altri progetti OpenShift nel cluster.
  • Decidere i ruoli personalizzati di Controllo degli accessi in base al ruolo di Azure per la zona di destinazione di Azure Red Hat OpenShift.
    • Decidere quali autorizzazioni sono necessarie per il ruolo SRE (Site Reliability Engineering) per amministrare e risolvere i problemi dell'intero cluster.
    • Decidere quali autorizzazioni sono necessarie per le operazioni di sicurezza (SecOps).
    • Decidere quali autorizzazioni sono necessarie per il proprietario della zona di destinazione.
    • Decidere quali autorizzazioni sono necessarie per i team dell'applicazione da distribuire nel cluster.
  • Decidere come archiviare segreti e informazioni riservate nel cluster. È possibile archiviare segreti e informazioni riservate come segreti Kubernetes con codifica Base64 o usare un provider di archivi segreti, ad esempio il provider di Azure Key Vault per il driver CSI dell'archivio segreti.

Suggerimenti per la progettazione

  • Identità del cluster
    • Creare un'entità servizio e definire i ruoli personalizzati del controllo degli accessi in base al ruolo di Azure per la zona di destinazione di Azure Red Hat OpenShift. I ruoli semplificano la gestione delle autorizzazioni per l'entità servizio del cluster Azure Red Hat OpenShift.
  • Accesso al cluster
    • Configurare l'integrazione di Microsoft Entra per usare Microsoft Entra ID per autenticare gli utenti nel cluster Azure Red Hat OpenShift.
    • Definire progetti OpenShift per limitare i privilegi di controllo degli accessi in base al ruolo e isolare i carichi di lavoro nel cluster.
    • Definire i ruoli controllo degli accessi in base al ruolo necessari in OpenShift che hanno come ambito un ambito di progetto locale o un ambito del cluster.
    • Usare Azure Red Hat OpenShift per creare associazioni di ruolo associate ai gruppi di Microsoft Entra per SRE, SecOps e accesso per sviluppatori.
    • Usare Azure Red Hat OpenShift con Microsoft Entra ID per limitare i diritti utente e ridurre al minimo il numero di utenti con diritti di amministratore. La limitazione dei diritti utente protegge l'accesso alla configurazione e ai segreti.
    • Concedere l'accesso completo solo in base alle esigenze e just-in-time. Usare Privileged Identity Management in Microsoft Entra ID e gestione delle identità e degli accessi nelle zone di destinazione di Azure.
  • Carichi di lavoro del cluster
    • Per le applicazioni che richiedono l'accesso alle informazioni riservate, usare un'entità servizio e il provider di Azure Key Vault per il driver CSI dell'archivio segreto per montare i segreti archiviati in Azure Key Vault nei pod.

Passaggi successivi

Topologia di rete e connettività per Azure Red Hat OpenShift