Toegang verlenen tot Azure Kubernetes Fleet Manager-resources met op rollen gebaseerd toegangsbeheer van Azure
Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) is een autorisatiesysteem dat is gebouwd op Azure Resource Manager dat gedetailleerd toegangsbeheer biedt voor Azure-resources.
Dit artikel bevat een overzicht van de verschillende ingebouwde Azure RBAC-rollen die u kunt gebruiken voor toegang tot Azure Kubernetes Fleet Manager-resources (Kubernetes Fleet).
Besturingsvlak
Deze rol verleent toegang tot Arm-resources (Azure Resource Manager) Fleet-resources en -subresources en is van toepassing op zowel Kubernetes Fleet-resources met als zonder een hubcluster.
| Rolnaam | Beschrijving | Gebruik |
|---|---|---|
| Inzender voor Azure Kubernetes Fleet Manager | Deze rol verleent lees- en schrijftoegang tot Azure-resources die worden geleverd door Azure Kubernetes Fleet Manager, waaronder vlootleden, vlootupdatestrategieën, vlootupdateuitvoeringen en meer. | U kunt deze rol gebruiken om inzendermachtigingen te verlenen die alleen van toepassing zijn op Kubernetes Fleet-resources en -subresources. Deze rol kan bijvoorbeeld worden toegewezen aan een Azure-beheerder die de taak heeft gekregen om Fleet-resources te definiëren en te onderhouden. |
Gegevenslaag
Deze rollen verlenen toegang tot Kubernetes-objecten van de Fleet-hub en zijn daarom alleen van toepassing op Kubernetes Fleet-resources met een hubcluster.
U kunt gegevensvlakrollen toewijzen aan het clusterbereik fleet hub of op een afzonderlijk Kubernetes-naamruimtebereik door deze /namespace/<namespace> toe te voegen aan het bereik van de roltoewijzing.
| Rolnaam | Beschrijving | Gebruik |
|---|---|---|
| Azure Kubernetes Fleet Manager RBAC Reader | Verleent alleen-lezentoegang tot de meeste Kubernetes-resources binnen een naamruimte in het door de vloot beheerde hubcluster. Het is niet toegestaan om rollen of rolbindingen weer te geven. Deze rol staat het weergeven van geheimen niet toe, omdat het lezen van de inhoud van Geheimen toegang biedt tot ServiceAccount referenties in de naamruimte, waardoor API-toegang wordt toegestaan als elke ServiceAccount in de naamruimte (een vorm van escalatie van bevoegdheden). Het toepassen van deze rol op clusterbereik biedt toegang tot alle naamruimten. |
U kunt deze rol gebruiken om de mogelijkheid te verlenen geselecteerde niet-gevoelige Kubernetes-objecten te lezen op naamruimte of clusterbereik. U kunt deze rol bijvoorbeeld verlenen voor beoordelingsdoeleinden. |
| Azure Kubernetes Fleet Manager RBAC Writer | Verleent lees- en schrijftoegang tot de meeste Kubernetes-resources binnen een naamruimte in het door de vloot beheerde hubcluster. Deze rol staat het weergeven of wijzigen van rollen of rolbindingen niet toe. Deze rol biedt echter toegang tot geheimen als elke ServiceAccount in de naamruimte, zodat deze kan worden gebruikt om de API-toegangsniveaus van elke ServiceAccount willekeurige in de naamruimte te verkrijgen. Het toepassen van deze rol op clusterbereik biedt toegang tot alle naamruimten. |
U kunt deze rol gebruiken om de mogelijkheid te verlenen om geselecteerde Kubernetes-objecten te schrijven op naamruimte of clusterbereik. Bijvoorbeeld voor gebruik door een projectteam dat verantwoordelijk is voor objecten in een bepaalde naamruimte. |
| Azure Kubernetes Fleet Manager RBAC-beheerder | Verleent lees- en schrijftoegang tot Kubernetes-resources binnen een naamruimte in het door de vloot beheerde hubcluster. Biedt schrijfmachtigingen voor de meeste objecten binnen een naamruimte, met uitzondering van ResourceQuota het object en het naamruimteobject zelf. Het toepassen van deze rol op clusterbereik biedt toegang tot alle naamruimten. |
U kunt deze rol gebruiken om de mogelijkheid te verlenen om geselecteerde Kubernetes-objecten (inclusief rollen en rolbindingen) te beheren op naamruimte of clusterbereik. Bijvoorbeeld voor gebruik door een projectteam dat verantwoordelijk is voor objecten in een bepaalde naamruimte. |
| Azure Kubernetes Fleet Manager RBAC-clusterbeheerder | Verleent lees-/schrijftoegang tot alle Kubernetes-resources in het door de vloot beheerde hubcluster. | U kunt deze rol gebruiken om toegang te verlenen tot alle Kubernetes-objecten (inclusief CRD's) op naamruimte of clusterbereik. |
Voorbeeld van roltoewijzingen
U kunt Azure RBAC-rollen verlenen met behulp van de Azure CLI. Als u bijvoorbeeld een roltoewijzing wilt maken in het clusterbereik van kubernetes Fleet-hub:
IDENTITY=$(az ad signed-in-user show --output tsv --query id)
FLEET_ID=$(az fleet show --resource-group $GROUP --name $FLEET --output tsv --query id)
az role assignment create --role 'Azure Kubernetes Fleet Manager RBAC Reader' --assignee "$IDENTITY" --scope "$FLEET_ID"
U kunt ook roltoewijzingen instellen voor een afzonderlijke Kubernetes-naamruimte. Als u bijvoorbeeld een roltoewijzing wilt maken voor de standaard Kubernetes Fleet-hub van een Kubernetes-naamruimte:
IDENTITY=$(az ad signed-in-user show --output tsv --query id)
FLEET_ID=$(az fleet show --resource-group $GROUP --name $FLEET --output tsv --query id)
az role assignment create --role 'Azure Kubernetes Fleet Manager RBAC Reader' --assignee "$IDENTITY" --scope "$FLEET_ID/namespaces/default"
Azure Kubernetes Service