다음을 통해 공유

Azure Red Hat OpenShift에 대한 ID 및 액세스 관리 고려 사항

  • 아티클

ID 및 액세스 관리는 Azure Red Hat OpenShift 랜딩 존 가속기를 배포할 때 조직의 보안 설정의 핵심 부분입니다. ID 및 액세스 관리에는 클러스터 ID, 워크로드 ID 및 운영자 액세스와 같은 영역이 포함됩니다.

이러한 디자인 고려 사항 및 권장 사항을 사용하여 Azure Red Hat OpenShift 배포에서 조직의 요구 사항을 충족하는 ID 및 액세스 관리 계획을 만듭니다.

디자인 고려 사항

  • 서비스 주체를 만들고 관리하는 방법과 Azure Red Hat OpenShift 클러스터 ID에 대해 사용해야 하는 권한을 결정합니다.
    • 서비스 주체를 만들고 수동으로 권한을 할당합니다.
    • 클러스터를 만들 때 서비스 주체를 자동으로 만들고 권한을 할당합니다.
  • 클러스터 액세스를 인증하는 방법을 결정합니다.
  • 다중 테넌트 클러스터 및 Azure Red Hat OpenShift 클러스터에서 RBAC(역할 기반 액세스 제어)를 설정하는 방법을 결정합니다.
    • 격리에 사용할 방법인 Red Hat OpenShift 프로젝트, 네트워크 정책 또는 클러스터를 결정합니다.
    • 격리를 위해 애플리케이션 팀당 OpenShift 프로젝트, 프로젝트 역할, 클러스터 역할 및 컴퓨팅 할당을 결정합니다.
    • 애플리케이션 팀이 클러스터에서 다른 OpenShift 프로젝트를 읽을 수 있는지 여부를 결정합니다.
  • Azure Red Hat OpenShift 랜딩 존에 대한 사용자 지정 Azure RBAC 역할을 결정합니다.
    • 전체 클러스터를 관리하고 문제를 해결하기 위해 SRE(사이트 안정성 엔지니어링) 역할에 필요한 권한을 결정합니다.
    • 보안 작업(SecOps)에 필요한 권한을 결정합니다.
    • 랜딩 존 소유자에게 필요한 권한을 결정합니다.
    • 애플리케이션 팀이 클러스터에 배포하는 데 필요한 권한을 결정합니다.
  • 클러스터에 비밀 및 중요한 정보를 저장하는 방법을 결정합니다. 비밀 및 중요한 정보를 Base64로 인코딩된 Kubernetes 비밀로 저장하거나 비밀 저장소 CSI 드라이버에 대한 Azure Key Vault 공급자와 같은 비밀 저장소 공급자를 사용할 수 있습니다.

디자인 권장 사항

  • 클러스터 ID
    • 서비스 주체를 만들고 Azure Red Hat OpenShift 랜딩 존에 대한 사용자 지정 Azure RBAC 역할을 정의합니다. 역할은 Azure Red Hat OpenShift 클러스터 서비스 주체에 대한 사용 권한을 관리하는 방법을 간소화합니다.
  • 클러스터 액세스
    • Microsoft Entra ID를 사용하여 Azure Red Hat OpenShift 클러스터에서 사용자를 인증하도록 Microsoft Entra 통합을 구성합니다.
    • RBAC 권한을 제한하고 클러스터에서 워크로드를 격리하도록 OpenShift 프로젝트를 정의합니다.
    • 로컬 프로젝트 범위 또는 클러스터 범위로 범위가 지정된 OpenShift에서 필요한 RBAC 역할을 정의합니다.
    • Azure Red Hat OpenShift를 사용하여 SRE, SecOps 및 개발자 액세스를 위해 Microsoft Entra 그룹에 연결된 역할 바인딩을 만듭니다.
    • Microsoft Entra ID와 함께 Azure Red Hat OpenShift를 사용하여 사용자 권한을 제한하고 관리자 권한이 있는 사용자 수를 최소화합니다. 사용자 권한을 제한하면 구성 및 비밀 액세스가 보호됩니다.
    • 필요에 따라 Just-In-Time에만 전체 액세스 권한을 부여합니다. Azure 랜딩 존에서 Microsoft Entra IDID 및 액세스 관리에서 Privileged Identity Management를 사용합니다.
  • 클러스터 워크로드

다음 단계

Azure Red Hat OpenShift에 대한 네트워크 토폴로지 및 연결