Kubernetes 承認に Azure ロールベースのアクセス制御 (RBAC) を使用する
適用対象: AKS on Azure Local バージョン 23H2
インフラストラクチャ管理者は、Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、 kubeconfig ファイルにアクセスできるユーザーとアクセス許可を制御できます。 Kubernetes オペレーターは、指定されたアクセス許可に基づいて、 kubectl ツールを使用して Kubernetes クラスターと対話できます。 Azure CLI では、アクセス資格情報と kubeconfig 構成ファイルを取得して、 kubectl を使用して AKS クラスターに接続する簡単な方法が提供されます。
Microsoft Entra ID と AKS の間で統合認証を使用する場合は、 Kbernetes ロールベースのアクセス制御 (Kubernetes RBAC)で、Microsoft Entra ユーザー、グループ、またはサービス プリンシパルをサブジェクトとして使用できます。 この機能を使用すると、Kubernetes に対するユーザーの ID と資格情報を個別に管理する必要がなくなります。 ただし、Azure RBAC と Kubernetes RBAC を個別に設定して管理する必要があります。
この記事では、Microsoft Entra ID と Azure ロールの割り当てで Kubernetes クラスター承認に Azure RBAC を使用する方法について説明します。
概念の概要については、「 Azure RBAC for Kubernetes Authorization for AKS enabled by Azure Arc」を参照してください。
開始する前に
開始する前に、以下の前提条件を確認してください。
AKS on Azure Local バージョン 23H2 では、現在、Kubernetes クラスターの作成時にのみ Azure RBAC を有効にできます。 Kubernetes クラスターの作成後に Azure RBAC を有効にすることはできません。
最新バージョンの aksarc と connectedk8s Azure CLI 拡張機能をインストールします。 Azure RBAC を有効にするには、 aksarc 拡張機能バージョン 1.1.1 以降を実行する必要があることに注意してください。 現在のバージョンを調べるには、
az --version
を実行します。 Azure CLI をインストールまたはアップグレードする必要がある場合は、 Azure CLI のインストールを参照してください。az extension add --name aksarc az extension add --name connectedk8s
aksarc
拡張機能を既にインストールしている場合は、拡張機能を最新バージョンに更新します。az extension update --name aksarc az extension update --name connectedk8s
Kubernetes クラスターと対話するには、 kubectl と kubelogin をインストールする必要があります。
Kubernetes クラスターの作成時に Azure RBAC を有効にするには、次のアクセス許可が必要です。
- Kubernetes クラスターを作成するには、 Azure Kubernetes Service Arc Contributor ロールが必要です。
--enable-azure-rbac
パラメーターを使用するには、Microsoft.Authorization/roleAssignments/write アクセス許可にアクセスするための Role Based Access Control Administrator ロールが必要です。 詳細については、Azure の組み込みロールに関するページを参照してください。- 新しいロールの割り当てが認可サーバーに伝達されて更新されるまで、"最大で 5 分" かかることがあります。
Azure RBAC が有効になったら、直接モードまたはプロキシ モードを使用して、特定のアクセス許可を使用して Kubernetes クラスターにアクセスできます。
az aksarc get-credentials
コマンドを使用して直接 Kubernetes クラスターにアクセスするには、Microsoft.HybridContainerService/provisionedClusterInstances/listUserKubeconfig/action が必要です。このアクセス許可は、Azure Kubernetes Service Arc Cluster User ロールのアクセス許可に含まれています。az connectedk8s proxy
コマンドを使用して任意の場所からプロキシ モードで Kubernetes クラスターにアクセスするには、または Azure portal から、Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action アクションが必要です。これは、Azure Arc 対応 Kubernetes Cluster User ロールのアクセス許可に含まれています。 一方、オンボード プロセスを実行しているエージェントとマシンが、 Azure Arc 対応 Kubernetes ネットワーク要件で指定されているネットワーク要件を満たしていることを確認する必要があります。
kubectlを使用するには、Azure RBAC または AAD 管理グループを使用してアクセスできます。
- Azure RBAC で kubectl を使用するには、接続されたクラスター リソースをスコープとする Azure Arc Kubernetes Viewer ロールが必要です。
- AAD 管理グループで kubectl を使用するには、特定のロールは必要ありませんが、接続されているクラスター リソースの add-admin-group リストのいずれかのグループに含まれている必要があります。
手順 1: Azure RBAC 対応 Kubernetes クラスターを作成する
承認用の Azure RBAC 対応 Kubernetes クラスターと、認証用の Microsoft Entra ID を作成できます。
az aksarc create -n $aks_cluster_name -g $resource_group_name --custom-location $customlocation_ID --vnet-ids $logicnet_Id --generate-ssh-keys --enable-azure-rbac
数分後、コマンドが完了し、クラスターに関する情報が JSON 形式で返されます。
手順 2: ユーザーがクラスターにアクセスするためのロールの割り当てを作成する
Arc で有効になっている AKS には、次の 5 つの組み込みロールが用意されています。 これらは Kubernetes 組み込みロールに似ていますが CRD のサポートなど、いくつかの違いがあります。 各 Azure 組み込みロールで許可されるアクションの完全な一覧をご覧ください。
Role | 説明 |
---|---|
Azure Arc 対応 Kubernetes クラスター ユーザー | クラスター接続ベースの kubeconfig ファイルを取得して、どこからでもクラスターを管理できます。 |
Azure Arc Kubernetes ビューアー | 名前空間内のほとんどのオブジェクトを表示するための読み取り専用アクセスが許可されます。 シークレットに対する read アクセス許可により、名前空間内の ServiceAccount 資格情報にアクセスできるため、シークレットの表示は許可されません。 これらの資格情報により、その ServiceAccount 値 (特権エスカレーションの形式) を介した API アクセスが許可されます。 |
Azure Arc Kubernetes ライター | 名前空間内のほとんどのオブジェクトに対する読み取りと書き込みのアクセスが許可されます。 ロールまたはロールバインドの表示または変更を許可しません。 ただし、このロールを使用すると、名前空間内の任意の ServiceAccount 値としてシークレットにアクセスし、ポッドを実行できるため、名前空間内の ServiceAccount 値の API アクセス レベルを取得するために使用できます。 |
Azure Arc Kubernetes 管理者 | 管理者アクセスを許可します。 これは、 RoleBinding を介して名前空間内で付与されることを目的としています。 RoleBinding で使用すると、名前空間内でロールとロール バインドを作成する機能など、名前空間内のほとんどのリソースへの読み取り/書き込みアクセスが許可されます。 このロールでは、リソース クォータまたは名前空間自体への書き込みアクセスは許可されません。 |
Azure Arc Kubernetes クラスター管理者 | 任意のリソースに対して任意のアクションを実行する "スーパーユーザー" アクセスを許可します。 ClusterRoleBinding で使用すると、クラスター内のすべてのリソースとすべての名前空間を完全に制御できます。 RoleBinding で使用すると、名前空間自体を含め、ロール バインド名前空間内のすべてのリソースを完全に制御できます。 |
az role assignment create
コマンドを使用して、ロールの割り当てを作成できます。
まず、ロールを割り当てるターゲット クラスターの $ARM-ID
を取得します。
$ARM_ID = (az connectedk8s show -g "$resource_group_name" -n $aks_cluster_name --query id -o tsv)
次に、 az role assignment create
コマンドを使用して、Kubernetes クラスターにロールを割り当てます。 最初の手順の $ARM_ID
と、この手順の assignee-object-id
を指定する必要があります。 assignee-object-id
には、Microsoft Entra ID またはサービス プリンシパル クライアント ID を指定できます。
次の例では、 Azure Arc Kubernetes Viewer ロールを Kubernetes クラスターに割り当てます。
az role assignment create --role "Azure Arc Kubernetes Viewer" --assignee <assignee-object-id> --scope $ARM_ID
この例では、スコープはクラスターの Azure Resource Manager ID です。 Kubernetes クラスターを含むリソース グループにすることもできます。
カスタム ロールの定義を作成する
ロールの割り当てで使用する独自のロールの定義を作成することもできます。
次の例は、ユーザーがデプロイの読み取りのみを許可するロール定義を示しています。 詳細については、ロールの定義の作成に使用できるデータ アクションの完全な一覧を参照してください。 カスタム ロールの作成の詳細については、「カスタム ロールを作成する ステップ」を参照してください。
独自のカスタム ロール定義を作成するには、次の JSON オブジェクトを custom-role.json という名前のファイルにコピーします。 <subscription-id>
プレースホルダーは、実際のサブスクリプション ID に置き換えます。 カスタム ロールでは、いずれかのデータ アクションを使用し、ロールの割り当てが作成されたスコープ (クラスターまたは名前空間) 内のすべてのデプロイを表示できます。
{
"Name": "AKS Arc Deployment Reader",
"Description": "Lets you view all deployments in cluster/namespace.",
"Actions": [],
"NotActions": [],
"DataActions": [
"Microsoft.Kubernetes/connectedClusters/apps/deployments/read"
],
"NotDataActions": [],
"assignableScopes": [
"/subscriptions/<YOUR SUBSCRIPTION ID>"
]
}
カスタム ロールとその作成方法については、「 Azure カスタム ロールを参照してください。
az role definition create
コマンドを使用してロール定義を作成し、前の手順で作成したdeploy-view.json ファイルに --role-definition
パラメーターを設定します。
az role definition create --role-definition @deploy-view.json
az role assignment create
コマンドを使用して、ユーザーまたは他の ID にロール定義を割り当てます。
az role assignment create --role "AKS Arc Deployment Reader" --assignee <assignee-object-id> --scope $ARM_ID
手順 3: Kubernetes クラスターにアクセスする
直接モードまたはプロキシ モードを使用して、特定のアクセス許可を持つ Kubernetes クラスターにアクセスできるようになりました。
kubectl (ダイレクト モード) を使用してクラスターにアクセスする
特定のアクセス許可を持つ Kubernetes クラスターにアクセスするには、Kubernetes オペレーターに Microsoft Entra kubeconfig が必要です。これは、 az aksarc get-credentials
コマンドを使用して取得できます。 このコマンドは、管理者ベースの kubeconfig とユーザーベースの kubeconfig へのアクセスを提供します。 管理者ベースの kubeconfig ファイルにはシークレットが含まれており、定期的に安全に保存およびローテーションする必要があります。 一方、ユーザー ベースの Microsoft Entra ID kubeconfig にはシークレットが含まれていないので、クライアント コンピューターから接続するユーザーに配布できます。
この Azure CLI コマンドを実行するには、 Microsoft.HybridContainerService/provisionedClusterInstances/listUserKubeconfig/action が必要です。これは、 Azure Kubernetes Service Arc Cluster User ロールのアクセス許可に含まれています。
az aksarc get-credentials -g "$resource_group_name" -n $aks_cluster_name --file <file-name>
これで、kubectl を使用してクラスターを管理できるようになりました。 たとえば、kubectl get nodes
を使用してクラスター内のノードを一覧表示できます。 次の例に示すように、初めてサインインする必要があります。
kubectl get nodes
クライアント デバイスからクラスターにアクセスする (プロキシ モード)
az connectedk8s proxy
コマンドを使用してプロキシ モードでどこからでも Kubernetes クラスターにアクセスするには、Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action が必要です。このアクセス許可は、Azure Arc 対応 Kubernetes Cluster User ロールのアクセス許可に含まれています。
別のクライアント デバイスで次の手順を実行します。
Microsoft Entra 認証を使用してサインインする
クラスターと通信するために必要なクラスター接続 kubeconfig を取得します (クラスターを囲むファイアウォールの外側からでも)。
az connectedk8s proxy -n $CLUSTER_NAME -g $RESOURCE_GROUP
Note
このコマンドは、プロキシを開き、現在のシェルをブロックします。
別のシェル セッションで、
kubectl
を使用してクラスターに要求を送信します。kubectl get pods -A
これで、default
名前空間の下にあるすべてのポッドの一覧が含まれている、クラスターからの応答が表示されます。
詳細については、「 クライアント デバイスからクラスターにアクセスする」を参照してください。
リソースをクリーンアップする
ロール割り当ての削除
# List role assignments
az role assignment list --scope $ARM_ID --query [].id -o tsv
# Delete role assignments
az role assignment delete --ids <LIST OF ASSIGNMENT IDS>
ロールの定義の削除
az role definition delete -n "AKS Arc Deployment Reader"