Delen via


Overwegingen voor identiteits- en toegangsbeheer voor AKS

Dit artikel bevat ontwerpoverwegingen en aanbevelingen voor identiteits- en toegangsbeheer wanneer u Azure Kubernetes Service (AKS) gebruikt. Er zijn meerdere aspecten van identiteits- en toegangsbeheer, waaronder clusteridentiteiten, workloadidentiteiten en operatortoegang.

Ontwerpoverwegingen

  • Bepaal welke clusteridentiteit moet worden gebruikt (beheerde identiteit of service-principal).
  • Bepaal hoe u clustertoegang verifieert: op basis van clientcertificaten of via Microsoft Entra-id.
  • Beslis over een multitenancycluster en hoe u op rollen gebaseerd toegangsbeheer (RBAC) instelt in Kubernetes.
    • Kies een methode voor isolatie. Methoden omvatten naamruimte, netwerkbeleid (alleen toegestaan door Azure CNI), rekenkracht (knooppuntgroep) en cluster.
    • Bepaal de Kubernetes RBAC-rollen en rekentoewijzing per toepassingsteam voor isolatie.
    • Bepaal of toepassingsteams andere workloads in hun clusters of in andere clusters kunnen lezen.
  • Bepaal de machtigingen voor aangepaste Azure RBAC-rollen voor uw AKS-landingszone.
    • Bepaal welke machtigingen nodig zijn voor de SRE-rol (Site Reliability Engineering) om die rol in te schakelen voor het beheren en oplossen van problemen met het hele cluster.
    • Bepaal welke machtigingen nodig zijn voor SecOps.
    • Bepaal welke machtigingen nodig zijn voor de eigenaar van de landingszone.
    • Bepaal welke machtigingen de toepassingsteams moeten implementeren in het cluster.
  • Bepaal of u workloadidentiteiten (Microsoft Entra Workload-ID) nodig hebt. Mogelijk hebt u ze nodig voor services zoals Azure Key Vault-integratie en Azure Cosmos DB.

Ontwerpaanaanvelingen

  • Clusteridentiteiten.
    • Gebruik uw eigen beheerde identiteit voor uw AKS-cluster.
    • Definieer aangepaste Azure RBAC-rollen voor uw AKS-landingszone om het beheer van vereiste machtigingen voor door het cluster beheerde identiteit te vereenvoudigen.
  • Clustertoegang.
  • Definieer vereiste RBAC-rollen en -rolbindingen in Kubernetes.
    • Gebruik Kubernetes-rollen en -rolbindingen voor Microsoft Entra-groepen voor sitebetrouwbaarheidstechniek (SRE), SecOps en toegang tot ontwikkelaars.
    • Overweeg het gebruik van Azure RBAC voor Kubernetes, waardoor geïntegreerd beheer en toegangsbeheer mogelijk is voor Azure-resources, AKS- en Kubernetes-resources. Wanneer Azure RBAC voor Kubernetes is ingeschakeld, hoeft u geen afzonderlijke gebruikersidentiteiten en referenties voor Kubernetes te beheren. Microsoft Entra-principals worden uitsluitend gevalideerd door Azure RBAC, maar reguliere Kubernetes-gebruikers en -serviceaccounts worden uitsluitend gevalideerd door Kubernetes RBAC.
  • Ververleent zo nodig just-in-time volledige toegang tot SRE.
  • Gebruik Microsoft Entra Workload-ID voor Kubernetes. Wanneer u deze federatie implementeert, kunnen ontwikkelaars systeemeigen Kubernetes-serviceaccounts en federatie gebruiken voor toegang tot resources die worden beheerd door Microsoft Entra ID, zoals Azure en Microsoft Graph.