Windows Server の Microsoft Entra ID と Kubernetes RBAC を使用してアクセスを制御する
適用対象: AKS on Azure Stack HCI 22H2、Windows Server 上の AKS
Azure Kubernetes Service (AKS) は、ユーザー認証に Microsoft Entra ID を使うように構成することができます。 この構成では、Microsoft Entra 認証トークンを使用して Kubernetes クラスターにサインインします。 認証されると、ユーザーの ID またはグループ メンバーシップに基づいて、名前空間やクラスター リソースへのアクセスを管理するために、組み込みの Kubernetes のロールベースのアクセス制御 (Kubernetes RBAC) を使用できます。
この記事では、AKS Arc の Microsoft Entra グループ メンバーシップに基づいて、Kubernetes クラスターで Kubernetes RBAC を使用してアクセスを制御する方法について説明します。Microsoft Entra ID でデモ グループとユーザーを作成します。 次に、リソースを作成して表示するための適切なアクセス許可を付与するために、クラスターにロールとロール バインドを作成します。
前提条件
Microsoft Entra ID を使用して Kubernetes RBAC を設定する前に、次の前提条件が必要です。
- AKS Arc で作成された Kubernetes クラスター。クラスターを設定する必要がある場合は、 Windows Admin Center または PowerShell を使用して AKS をデプロイする手順を参照してください。
- Azure Arc 接続。 Kubernetes クラスターへの Azure Arc 接続が必要です。 Azure Arc の有効化の詳細については、「 Azure ローカル クラスター上の Azure Kubernetes Service を Azure Arc 対応 Kubernetes に接続するを参照してください。
- 次のコマンド ライン ツールにアクセスする必要があります。
- Azure CLI と connectedk8s 拡張機能。 Azure CLI は、Azure リソースの作成と管理に使用される一連のコマンドです。 Azure CLI があるかどうかを確認するには、コマンド ライン ツールを開き、「
az -v
」と入力します。 また、 connectedk8s 拡張機能 をインストールして、Kubernetes クラスターへのチャネルを開きます。 インストール手順については、「 Azure CLI のインストール方法を参照してください。 - Kubectl。 この Kubernetes コマンド ライン ツールを使用すると、Kubernetes クラスターを対象とするコマンドを実行できます。 kubectl をインストールしたかどうかを確認するには、コマンド プロンプトを開き、「
kubectl version --client
」と入力します。 kubectl クライアントのバージョンがバージョン v1.24.0 以上であることを確認します。 インストール手順については、 kubectlを参照してください。 - PowerShell と AksHci PowerShell モジュール。 PowerShell は、コマンドライン シェル、スクリプト言語、構成管理フレームワークで構成されるクロスプラットフォーム タスク自動化ソリューションです。 AKS Arc をインストールした場合は、 AksHci PowerShell モジュールにアクセスできます。
az connectedk8s proxy
コマンドを使用してプロキシ モードで任意の場所から Kubernetes クラスターにアクセスするには、Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action が必要です。これは、Azure Arc 対応 Kubernetes Cluster User ロールのアクセス許可に含まれています。 一方、オンボード プロセスを実行するエージェントとマシンが、 Azure Arc 対応 Kubernetes ネットワーク要件のネットワーク要件を満たしていることを確認する必要があります。
- Azure CLI と connectedk8s 拡張機能。 Azure CLI は、Azure リソースの作成と管理に使用される一連のコマンドです。 Azure CLI があるかどうかを確認するには、コマンド ライン ツールを開き、「
最初のステップ (省略可能)
メンバーを含む Microsoft Entra グループがまだない場合は、グループを作成し、いくつかのメンバーを追加して、この記事の手順に従うことができます。
Microsoft Entra ID と Kubernetes RBAC の操作を示すために、Kubernetes RBAC と Microsoft Entra ID がクラスター リソースへのアクセスを制御する方法を示すために使用できるアプリケーション開発者向けの Microsoft Entra グループを作成できます。 運用環境では、Microsoft Entra テナント内の既存のユーザーとグループを使用できます。
Microsoft Entra ID でデモ グループを作成する
まず、 az ad group create
コマンドを使用して、アプリケーション開発者向けにテナントの Microsoft Entra ID でグループを作成します。 次の例では、Azure テナントにサインインし、 appdev という名前のグループを作成するように求。
az login
az ad group create --display-name appdev --mail-nickname appdev
グループにユーザーを追加する
アプリケーション開発者向けに Microsoft Entra ID で作成されたグループの例を使用して、 appdev
グループにユーザーを追加します。 このユーザー アカウントを使用して AKS クラスターにサインインし、Kubernetes RBAC 統合をテストします。
az ad group member add
コマンドを使用して、前のセクションで作成した appdev グループにユーザーを追加します。 セッションを終了した場合は、 az login
を使用して Azure に再接続します。
$AKSDEV_ID = az ad user create --display-name <name> --password <strongpassword> --user-principal-name <name>@contoso.onmicrosoft.com
az ad group member add --group appdev --member-id $AKSDEV_ID
Microsoft Entra グループの AKS クラスター リソースにカスタム Kubernetes RBAC ロール バインドを作成する
Microsoft Entra グループがクラスターにアクセスできるように AKS クラスターを構成します。 グループとユーザーを追加する場合は、「 Microsoft Entra ID でデモ グループを作成するを参照してください。
Get-AksHciCredential
コマンドを使用して、クラスター管理者の資格情報を取得します。Get-AksHciCredential -name <name-of-your-cluster>
kubectl create namespace
コマンドを使用して、Kubernetes クラスターに名前空間を作成します。 次の例では、dev
という名前空間を作成します。kubectl create namespace dev
Kubernetes では、Role によって付与するアクセス許可が定義され、RoleBinding によってアクセス許可が目的のユーザーまたはグループに適用されます。 これらの割り当ては、特定の名前空間またはクラスター全体に適用できます。 詳細については、Kubernetes RBAC 認可の使用に関するページを参照してください。
dev 名前空間のロールを作成します。 このロールにより名前空間に完全なアクセス許可が付与されます。 運用環境では、さまざまなユーザーまたはグループに対してより細かいアクセス許可を指定できます。
role-dev-namespace.yaml という名前のファイルを作成し、次の YAML マニフェストをコピーして貼り付けます。
kind: Role apiVersion: rbac.authorization.k8s.io/v1 metadata: name: dev-user-full-access namespace: dev rules: - apiGroups: ["", "extensions", "apps"] resources: ["*"] verbs: ["*"] - apiGroups: ["batch"] resources: - jobs - cronjobs verbs: ["*"]
kubectl apply
コマンドを使用してロールを作成し、YAML マニフェストのファイル名を指定します。kubectl apply -f role-dev-namespace.yaml
az ad group show
コマンドを使って、appdev グループのリソース ID を取得します。 このグループは、次の手順で RoleBinding の件名として設定されます。az ad group show --group appdev --query objectId -o tsv
az ad group show
コマンドは、groupObjectId
として使用する値を返します。38E5FA30-XXXX-4895-9A00-050712E3673A
rolebinding-dev-namespace.yaml という名前のファイルを作成し、次の YAML マニフェストをコピーして貼り付けます。 appdev グループが名前空間アクセスに
role-dev-namespace
ロールを使用できるようにするロール バインドを確立します。 最後の行のgroupObjectId
を、az ad group show
コマンドから返されたグループ オブジェクト ID に置き換えます。kind: RoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: dev-user-access namespace: dev roleRef: apiGroup: rbac.authorization.k8s.io kind: Role name: dev-user-full-access subjects: - kind: Group namespace: dev name: groupObjectId
ヒント
1 人のユーザーに対する RoleBinding を作成する場合は、
kind: User
を指定し、groupObjectId
をサンプルのユーザー プリンシパル名 (UPN) に置き換えます。kubectl apply
コマンドを使用してRoleBindingを作成し、YAML マニフェストのファイル名を指定します。kubectl apply -f rolebinding-dev-namespace.yaml
rolebinding.rbac.authorization.k8s.io/dev-user-access created
AKS クラスター リソースに Kubernetes RBAC の組み込みロールを使用する
Kubernetes には、組み込みのユーザー向けロールも用意されています。 次のような組み込みロールがあります。
- スーパー ユーザー ロール (クラスター管理者)
- ClusterRoleBinding を使ってクラスター全体に付与されることを目的としたロール
- RoleBinding を使って特定の名前空間内で付与されることを目的としたロール(管理、編集、表示)
組み込みの Kubernetes RBAC ロールの詳細については、「 Kbernetes RBAC ユーザー向けロールを参照してください。
ユーザー向けロール
既定の ClusterRole | 既定の ClusterRoleBinding | 説明 |
---|---|---|
cluster-admin | system:masters グループ | スーパー ユーザーアクセスを許可し、任意のリソースに対して任意のアクションを実行できます。 ClusterRoleBinding で使用する場合、このロールはクラスター内のすべてのリソースとすべての名前空間を完全に制御します。 RoleBinding で使うと、ロール バインドの名前空間内のすべてのリソース (名前空間自体を含む) を完全に制御できます。 |
admin | なし | ロール バインディングを使用して名前空間内で付与することを目的とした管理者アクセスを許可します。 ロール バインドで使用する場合は、名前空間内でロールとロール バインドを作成する機能など、名前空間内のほとんどのリソースへの読み取り/書き込みアクセスを許可します。 このロールでは、リソース クォータまたは名前空間自体への書き込みアクセスは許可されません。 このロールでは、Kubernetes v1.22 以降を使用して作成されたクラスター内のエンドポイントへの書き込みアクセスも許可されません。 詳細については、「 エンドポイントのアクセスを書き込む」を参照してください。 |
edit | なし | 名前空間内のほとんどのオブジェクトに対する読み取りと書き込みのアクセスが許可されます。 このロールでは、ロールまたはロールのバインドを表示または変更することはできません。 ただし、このロールを使用すると、名前空間内の任意の ServiceAccount としてシークレットにアクセスし、ポッドを実行できるため、名前空間内の任意の ServiceAccount の API アクセス レベルを取得するために使用できます。 このロールでは、Kubernetes v1.22 以降を使用して作成されたクラスター内のエンドポイントへの書き込みアクセスも許可されません。 詳細については、「 エンドポイントのアクセスを書き込む」を参照してください。 |
ビュー | なし | 名前空間内のほとんどのオブジェクトを表示するための読み取り専用アクセスが許可されます。 ロールまたはロールのバインドを表示することはできません。 シークレットの内容を読み取ると名前空間の ServiceAccount 資格情報にアクセスできるため、このロールではシークレットの表示は許可されません。これにより、名前空間内の任意の ServiceAccount (特権エスカレーションの形式) としての API アクセスが許可されます。 |
Microsoft Entra ID で組み込みの Kubernetes RBAC ロールを使用する
Microsoft Entra ID で組み込みの Kubernetes RBAC ロールを使用するには、次の手順に従います。
組み込みの
view
Kubernetes RBAC ロールを Microsoft Entra グループに適用します。kubectl create clusterrolebinding <name of your cluster role binding> --clusterrole=view --group=<Azure AD group object ID>
組み込みの
view
Kubernetes RBAC ロールを各 Microsoft Entra ユーザーに適用します。kubectl create clusterrolebinding <name of your cluster role binding> --clusterrole=view --user=<Azure AD user object ID>
Microsoft Entra ID を使用してクラスター リソースを操作する
次に、Kubernetes クラスターでリソースを作成および管理するときに、予想されるアクセス許可をテストします。 これらの例では、ユーザーの割り当てられた名前空間内でポッドをスケジュール設定して表示します。 次に、割り当てられた名前空間の外部にあるポッドをスケジュールして表示しようとします。
az ad group member add
コマンドへの入力として指定した$AKSDEV_ID
ユーザー アカウントを使用して Azure にサインインします。az connectedk8s proxy
コマンドを実行して、クラスターへのチャネルを開きます。az connectedk8s proxy -n <cluster-name> -g <resource-group>
プロキシ チャネルが確立されたら、別のセッションを開き、dev 名前空間の
kubectl run
コマンドを使用して NGINX ポッドをスケジュールします。kubectl run nginx-dev --image=mcr.microsoft.com/oss/nginx/nginx:1.15.5-alpine --namespace dev
NGINX が正常にスケジュールされると、次の出力が表示されます。
pod/nginx-dev created
次に、
kubectl get pods
コマンドを使用して、dev
名前空間のポッドを表示します。kubectl get pods --namespace dev
NGINX が正常に実行されると、次の出力が表示されます。
NAME READY STATUS RESTARTS AGE nginx-dev 1/1 Running 0 4m
割り当てられた名前空間の外部でクラスター リソースを作成して表示する
dev名前空間の外部にあるポッドを表示するには、--all-namespaces
フラグを指定して kubectl get pods
コマンドを使用します。
kubectl get pods --all-namespaces
ユーザーのグループ メンバーシップには、このアクションを許可する Kubernetes ロールがありません。 アクセス許可がないと、次のエラーが生成されます。
Error from server (Forbidden): pods is forbidden: User cannot list resource "pods" in API group "" at the cluster scope