Overwegingen voor identiteits- en toegangsbeheer voor AKS

Dit artikel bevat ontwerpoverwegingen en aanbevelingen voor identiteits- en toegangsbeheer wanneer u Azure Kubernetes Service (AKS) gebruikt. Er zijn meerdere aspecten van identiteits- en toegangsbeheer, waaronder clusteridentiteiten, workloadidentiteiten en operatortoegang.

Ontwerpoverwegingen

• Bepaal welke clusteridentiteit moet worden gebruikt (beheerde identiteit of service-principal).
• Bepaal hoe u clustertoegang verifieert: op basis van clientcertificaten of via Microsoft Entra-id.
• Beslis over een multitenancycluster en hoe u op rollen gebaseerd toegangsbeheer (RBAC) instelt in Kubernetes.
  • Kies een methode voor isolatie. Methoden omvatten naamruimte, netwerkbeleid (alleen toegestaan door Azure CNI), rekenkracht (knooppuntgroep) en cluster.
  • Bepaal de Kubernetes RBAC-rollen en rekentoewijzing per toepassingsteam voor isolatie.
  • Bepaal of toepassingsteams andere workloads in hun clusters of in andere clusters kunnen lezen.
• Bepaal de machtigingen voor aangepaste Azure RBAC-rollen voor uw AKS-landingszone.
  • Bepaal welke machtigingen nodig zijn voor de SRE-rol (Site Reliability Engineering) om die rol in te schakelen voor het beheren en oplossen van problemen met het hele cluster.
  • Bepaal welke machtigingen nodig zijn voor SecOps.
  • Bepaal welke machtigingen nodig zijn voor de eigenaar van de landingszone.
  • Bepaal welke machtigingen de toepassingsteams moeten implementeren in het cluster.
• Bepaal of u workloadidentiteiten (Microsoft Entra Workload-ID) nodig hebt. Mogelijk hebt u ze nodig voor services zoals Azure Key Vault-integratie en Azure Cosmos DB.

Ontwerpaanaanvelingen

• Clusteridentiteiten.
  • Gebruik uw eigen beheerde identiteit voor uw AKS-cluster.
  • Definieer aangepaste Azure RBAC-rollen voor uw AKS-landingszone om het beheer van vereiste machtigingen voor door het cluster beheerde identiteit te vereenvoudigen.
• Clustertoegang.
  • Gebruik Kubernetes RBAC met Microsoft Entra ID om bevoegdheden te beperken en beheerdersbevoegdheden te minimaliseren. Dit helpt bij het beveiligen van configuratie- en geheimentoegang.
  • Gebruik AKS-beheerde Microsoft Entra-integratie , zodat u Microsoft Entra-id kunt gebruiken voor verificatie en operator- en ontwikkelaarstoegang.
• Definieer vereiste RBAC-rollen en -rolbindingen in Kubernetes.
  • Gebruik Kubernetes-rollen en -rolbindingen voor Microsoft Entra-groepen voor sitebetrouwbaarheidstechniek (SRE), SecOps en toegang tot ontwikkelaars.
  • Overweeg het gebruik van Azure RBAC voor Kubernetes, waardoor geïntegreerd beheer en toegangsbeheer mogelijk is voor Azure-resources, AKS- en Kubernetes-resources. Wanneer Azure RBAC voor Kubernetes is ingeschakeld, hoeft u geen afzonderlijke gebruikersidentiteiten en referenties voor Kubernetes te beheren. Microsoft Entra-principals worden uitsluitend gevalideerd door Azure RBAC, maar reguliere Kubernetes-gebruikers en -serviceaccounts worden uitsluitend gevalideerd door Kubernetes RBAC.
• Ververleent zo nodig just-in-time volledige toegang tot SRE.
  • Gebruik Privileged Identity Management in Microsoft Entra ID en identiteits- en toegangsbeheer in Azure-landingszones.
• Gebruik Microsoft Entra Workload-ID voor Kubernetes. Wanneer u deze federatie implementeert, kunnen ontwikkelaars systeemeigen Kubernetes-serviceaccounts en federatie gebruiken voor toegang tot resources die worden beheerd door Microsoft Entra ID, zoals Azure en Microsoft Graph.