Overwegingen voor identiteits- en toegangsbeheer voor AKS
Dit artikel bevat ontwerpoverwegingen en aanbevelingen voor identiteits- en toegangsbeheer wanneer u Azure Kubernetes Service (AKS) gebruikt. Er zijn meerdere aspecten van identiteits- en toegangsbeheer, waaronder clusteridentiteiten, workloadidentiteiten en operatortoegang.
Ontwerpoverwegingen
- Bepaal welke clusteridentiteit moet worden gebruikt (beheerde identiteit of service-principal).
- Bepaal hoe u clustertoegang verifieert: op basis van clientcertificaten of via Microsoft Entra-id.
- Beslis over een multitenancycluster en hoe u op rollen gebaseerd toegangsbeheer (RBAC) instelt in Kubernetes.
- Kies een methode voor isolatie. Methoden omvatten naamruimte, netwerkbeleid (alleen toegestaan door Azure CNI), rekenkracht (knooppuntgroep) en cluster.
- Bepaal de Kubernetes RBAC-rollen en rekentoewijzing per toepassingsteam voor isolatie.
- Bepaal of toepassingsteams andere workloads in hun clusters of in andere clusters kunnen lezen.
- Bepaal de machtigingen voor aangepaste Azure RBAC-rollen voor uw AKS-landingszone.
- Bepaal welke machtigingen nodig zijn voor de SRE-rol (Site Reliability Engineering) om die rol in te schakelen voor het beheren en oplossen van problemen met het hele cluster.
- Bepaal welke machtigingen nodig zijn voor SecOps.
- Bepaal welke machtigingen nodig zijn voor de eigenaar van de landingszone.
- Bepaal welke machtigingen de toepassingsteams moeten implementeren in het cluster.
- Bepaal of u workloadidentiteiten (Microsoft Entra Workload-ID) nodig hebt. Mogelijk hebt u ze nodig voor services zoals Azure Key Vault-integratie en Azure Cosmos DB.
Ontwerpaanaanvelingen
- Clusteridentiteiten.
- Gebruik uw eigen beheerde identiteit voor uw AKS-cluster.
- Definieer aangepaste Azure RBAC-rollen voor uw AKS-landingszone om het beheer van vereiste machtigingen voor door het cluster beheerde identiteit te vereenvoudigen.
- Clustertoegang.
- Gebruik Kubernetes RBAC met Microsoft Entra ID om bevoegdheden te beperken en beheerdersbevoegdheden te minimaliseren. Dit helpt bij het beveiligen van configuratie- en geheimentoegang.
- Gebruik AKS-beheerde Microsoft Entra-integratie , zodat u Microsoft Entra-id kunt gebruiken voor verificatie en operator- en ontwikkelaarstoegang.
- Definieer vereiste RBAC-rollen en -rolbindingen in Kubernetes.
- Gebruik Kubernetes-rollen en -rolbindingen voor Microsoft Entra-groepen voor sitebetrouwbaarheidstechniek (SRE), SecOps en toegang tot ontwikkelaars.
- Overweeg het gebruik van Azure RBAC voor Kubernetes, waardoor geïntegreerd beheer en toegangsbeheer mogelijk is voor Azure-resources, AKS- en Kubernetes-resources. Wanneer Azure RBAC voor Kubernetes is ingeschakeld, hoeft u geen afzonderlijke gebruikersidentiteiten en referenties voor Kubernetes te beheren. Microsoft Entra-principals worden uitsluitend gevalideerd door Azure RBAC, maar reguliere Kubernetes-gebruikers en -serviceaccounts worden uitsluitend gevalideerd door Kubernetes RBAC.
- Ververleent zo nodig just-in-time volledige toegang tot SRE.
- Gebruik Privileged Identity Management in Microsoft Entra ID en identiteits- en toegangsbeheer in Azure-landingszones.
- Gebruik Microsoft Entra Workload-ID voor Kubernetes. Wanneer u deze federatie implementeert, kunnen ontwikkelaars systeemeigen Kubernetes-serviceaccounts en federatie gebruiken voor toegang tot resources die worden beheerd door Microsoft Entra ID, zoals Azure en Microsoft Graph.