Udostępnij za pośrednictwem

Zagadnienia dotyczące zarządzania tożsamościami i dostępem w usłudze Azure Red Hat OpenShift

  • Artykuł

Zarządzanie tożsamościami i dostępem jest kluczowym elementem ustawień zabezpieczeń organizacji podczas wdrażania akceleratora strefy docelowej usługi Azure Red Hat OpenShift. Zarządzanie tożsamościami i dostępem obejmuje obszary, takie jak tożsamości klastra, tożsamości obciążeń i dostęp operatora.

Skorzystaj z tych zagadnień projektowych i zaleceń, aby utworzyć plan zarządzania tożsamościami i dostępem spełniający wymagania organizacji we wdrożeniu usługi Azure Red Hat OpenShift.

Uwagi dotyczące projektowania

  • Zdecyduj, jak utworzyć jednostkę usługi i zarządzać nią oraz uprawnienia, które musi mieć dla tożsamości klastra Usługi Azure Red Hat OpenShift:
    • Utwórz jednostkę usługi i ręcznie przypisz uprawnienia.
    • Automatycznie utwórz jednostkę usługi i przypisz uprawnienia podczas tworzenia klastra.
  • Zdecyduj, jak uwierzytelnić dostęp do klastra:
  • Zdecyduj o klastrze wielodostępności i sposobie konfigurowania kontroli dostępu opartej na rolach (RBAC) w klastrze usługi Azure Red Hat OpenShift.
    • Zdecyduj o metodzie używanej do izolacji: projekty Red Hat OpenShift, zasady sieciowe lub klaster.
    • Zdecyduj o projektach OpenShift, rolach projektu, rolach klastra i alokacji zasobów obliczeniowych dla zespołu aplikacji na potrzeby izolacji.
    • Zdecyduj, czy zespoły aplikacji mogą odczytywać inne projekty OpenShift w klastrze.
  • Zdecyduj się na niestandardowe role RBAC platformy Azure dla strefy docelowej usługi Azure Red Hat OpenShift.
    • Zdecyduj, jakie uprawnienia są wymagane dla roli inżynierii niezawodności lokacji (SRE), aby administrować całym klastrem i rozwiązywać problemy z nim.
    • Zdecyduj, jakie uprawnienia są wymagane dla operacji zabezpieczeń (SecOps).
    • Zdecyduj, jakie uprawnienia są wymagane dla właściciela strefy docelowej.
    • Zdecyduj, jakie uprawnienia są wymagane dla zespołów aplikacji do wdrożenia w klastrze.
  • Zdecyduj, jak przechowywać wpisy tajne i poufne informacje w klastrze. Wpisy tajne i poufne informacje można przechowywać jako wpisy tajne kubernetes zakodowane w formacie Base64 lub użyć dostawcy magazynu wpisów tajnych, takiego jak dostawca usługi Azure Key Vault dla sterownika CSI magazynu wpisów tajnych.

Zalecenia dotyczące projektowania

  • Tożsamości klastra
    • Utwórz jednostkę usługi i zdefiniuj niestandardowe role RBAC platformy Azure dla strefy docelowej usługi Azure Red Hat OpenShift. Role upraszczają zarządzanie uprawnieniami dla jednostki usługi klastra azure Red Hat OpenShift.
  • Dostęp do klastra
    • Skonfiguruj integrację firmy Microsoft Entra, aby używać identyfikatora Entra firmy Microsoft do uwierzytelniania użytkowników w klastrze usługi Azure Red Hat OpenShift.
    • Zdefiniuj projekty OpenShift, aby ograniczyć uprawnienia RBAC i odizolować obciążenia w klastrze.
    • Zdefiniuj wymagane role RBAC w usłudze OpenShift, które są ograniczone do zakresu lokalnego projektu lub zakresu klastra.
    • Użyj usługi Azure Red Hat OpenShift, aby utworzyć powiązania ról powiązane z grupami firmy Microsoft dla SRE, SecOps i dostępu deweloperów.
    • Użyj usługi Azure Red Hat OpenShift z identyfikatorem Microsoft Entra ID, aby ograniczyć prawa użytkownika i zminimalizować liczbę użytkowników, którzy mają uprawnienia administratora. Ograniczenie praw użytkownika chroni konfigurację i dostęp do wpisów tajnych.
    • Zapewnij pełny dostęp tylko w razie potrzeby i just-in-time. Użyj usługi Privileged Identity Management w usłudze Microsoft Entra ID i zarządzania tożsamościami i dostępem w strefach docelowych platformy Azure.
  • Obciążenia klastra
    • W przypadku aplikacji, które wymagają dostępu do poufnych informacji, użyj jednostki usługi i dostawcy usługi Azure Key Vault dla sterownika CSI magazynu wpisów tajnych, aby zainstalować wpisy tajne przechowywane w usłudze Azure Key Vault do zasobników.

Następne kroki

Topologia sieci i łączność dla usługi Azure Red Hat OpenShift