Azure Red Hat OpenShift の ID およびアクセス管理に関する考慮事項

ID およびアクセス管理は、Azure Red Hat OpenShift ランディング ゾーン アクセラレータをデプロイする際の組織のセキュリティ設定の重要な部分です。 ID およびアクセス管理には、クラスター ID、ワークロード ID、オペレーター アクセスなどの領域が含まれます。

これらの設計上の考慮事項と推奨事項を使用して、Azure Red Hat OpenShift デプロイにおける組織の要件を満たす ID およびアクセス管理の計画を策定します。

設計上の考慮事項

• サービス プリンシパルを作成および管理する方法と、Azure Red Hat OpenShift クラスター ID に対して必要なアクセス許可を決定します。
  • サービス プリンシパルを作成し、アクセス許可を手動で割り当てます。
  • サービス プリンシパルを自動的に作成し、クラスターの作成時にアクセス許可を割り当てます。
• クラスターへのアクセスを認証する方法を決定します。
  • [クライアント証明書]
  • Microsoft Entra ID
• マルチテナント クラスターと、Azure Red Hat OpenShift でロールベースのアクセス制御 (RBAC) を設定する方法を決定します。
  • 分離に使用する方法 (Red Hat OpenShift プロジェクト、ネットワーク ポリシー、またはクラスター) を決定します。
  • 分離のために、OpenShift プロジェクト、プロジェクト ロール、クラスター ロール、およびアプリケーション チームごとのコンピューティング割り当てを決定します。
  • アプリケーション チームが自身のクラスター内の他の OpenShift プロジェクトを読み取れるようにするかどうかを決定します。
• Azure Red Hat OpenShift ランディング ゾーンのカスタム Azure RBAC ロールを決定します。
  • クラスター全体を管理またはトラブルシューティングするために、サイト信頼性エンジニアリング (SRE) ロールに必要なアクセス許可を決定します。
  • セキュリティ操作 (SecOps) に必要なアクセス許可を決定します。
  • ランディング ゾーンの所有者に必要なアクセス許可を決定します。
  • クラスターにデプロイするためにアプリケーション チームに必要なアクセス許可を決定します。
• シークレットと機密情報をクラスターに格納する方法を決定します。 シークレットと機密情報を Base64 でエンコードされた Kubernetes シークレットとして格納することも、シークレット ストア CSI ドライバー用の Azure Key Vault プロバイダーなどのシークレット ストア プロバイダーを使用することもできます。

設計の推奨事項

• クラスター ID
  • サービス プリンシパルを作成し、Azure Red Hat OpenShift ランディング ゾーンのカスタム Azure RBAC ロールを定義します。 ロールを使用すると、Azure Red Hat OpenShift クラスターのサービス プリンシパルのアクセス許可を簡単に管理できるようになります。
• クラスターへのアクセス
  • Microsoft Entra ID を使用して Azure Red Hat OpenShift クラスター内のユーザーを認証するように Microsoft Entra 統合を構成します。
  • OpenShift プロジェクトを定義して RBAC 権限を制限し、クラスター内のワークロードを分離します。
  • ローカル プロジェクト スコープまたはクラスター スコープにスコープ設定される、OpenShift で必要な RBAC ロールを定義します。
  • Azure Red Hat OpenShift を使用して、SRE、SecOps、および開発者アクセス用の Microsoft Entra グループに関連付けられているロール バインドを作成します。
  • Microsoft Entra ID で Azure Red Hat OpenShift を使用して、ユーザー権限を制限し、管理者権限を持つユーザーの数を最小限に抑えます。 ユーザー権限を制限すると、構成とシークレットのアクセスが保護されます。
  • 必要な場合にのみ、Just-In-Time でフル アクセスを付与します。 Microsoft Entra ID の Privileged Identity Management と Azure ランディング ゾーンでの ID とアクセスの管理を使用します。
• クラスター ワークロード
  • 機密情報へのアクセスを必要とするアプリケーションの場合は、サービス プリンシパルとシークレット ストア CSI ドライバー用の Azure Key Vault プロバイダーを使用して、Azure Key Vault に格納されているシークレットをポッドにマウントします。

次の手順

Azure Red Hat OpenShift のネットワーク トポロジと接続性