Considerações sobre gerenciamento de identidade e acesso para o Azure Red Hat OpenShift
O gerenciamento de identidade e acesso é uma parte fundamental das configurações de segurança de uma organização quando ela implanta o acelerador de zona de aterrissagem do Azure Red Hat OpenShift. O gerenciamento de identidade e acesso inclui áreas como identidades de cluster, identidades de carga de trabalho e acesso de operador.
Use essas considerações e recomendações de design para criar um plano de gerenciamento de identidade e acesso que atenda aos requisitos da sua organização em sua implantação do Azure Red Hat OpenShift.
Considerações sobre o design
- Decida como criar e gerenciar sua entidade de serviço e as permissões que ela deve ter para a identidade de cluster do Azure Red Hat OpenShift:
- Crie a entidade de serviço e atribua permissões manualmente.
- Crie automaticamente a entidade de serviço e atribua permissões ao criar o cluster.
- Decida como autenticar o acesso ao cluster:
- Certificados do cliente
- Microsoft Entra ID
- Decida sobre um cluster de multilocação e como configurar o RBAC (controle de acesso baseado em função) em seu cluster do Azure Red Hat OpenShift.
- Decida sobre um método a ser usado para isolamento: projetos Red Hat OpenShift, política de rede ou cluster.
- Decida sobre os projetos OpenShift, funções de projeto, funções de cluster e alocação de computação por equipe de aplicativo para isolamento.
- Decida se as equipes de aplicativos podem ler outros projetos OpenShift em seu cluster.
- Decida sobre funções RBAC personalizadas do Azure para sua zona de aterrissagem do Azure Red Hat OpenShift.
- Decida quais permissões são necessárias para a função de engenharia de confiabilidade do site (SRE) para administrar e solucionar problemas de todo o cluster.
- Decida quais permissões são necessárias para operações de segurança (SecOps).
- Decida quais permissões são necessárias para o proprietário da zona de pouso.
- Decida quais permissões são necessárias para as equipes de aplicativos implantarem no cluster.
- Decida como armazenar segredos e informações confidenciais em seu cluster. Você pode armazenar segredos e informações confidenciais como segredos Kubernetes codificados em Base64 ou usar um provedor de armazenamento secreto, como o Provedor do Cofre de Chaves do Azure para o Driver CSI do Repositório de Segredos.
Recomendações sobre design
- Identidades de cluster
- Crie uma entidade de serviço e defina as funções personalizadas do RBAC do Azure para sua zona de aterrissagem do Azure Red Hat OpenShift. As funções simplificam a forma como você gerencia as permissões para a entidade de serviço de cluster do Azure Red Hat OpenShift.
- Acesso ao cluster
- Configure a integração do Microsoft Entra para usar a ID do Microsoft Entra para autenticar usuários em seu cluster do Azure Red Hat OpenShift.
- Defina projetos OpenShift para restringir o privilégio RBAC e isolar cargas de trabalho em seu cluster.
- Defina as funções RBAC necessárias no OpenShift que têm como escopo um escopo de projeto local ou um escopo de cluster.
- Use o Azure Red Hat OpenShift para criar associações de função vinculadas a grupos do Microsoft Entra para SRE, SecOps e acesso de desenvolvedor.
- Use o Azure Red Hat OpenShift com o Microsoft Entra ID para limitar os direitos de usuário e minimizar o número de usuários que têm direitos de administrador. A limitação dos direitos do usuário protege a configuração e o acesso secreto.
- Dê acesso total apenas quando necessário e just-in-time. Use o Gerenciamento de Identidades Privilegiadas na ID do Microsoft Entra e o gerenciamento de identidade e acesso nas zonas de aterrissagem do Azure.
- Cargas de trabalho de cluster
- Para aplicativos que exigem acesso a informações confidenciais, use uma entidade de serviço e o Provedor do Cofre de Chaves do Azure para o Driver CSI do Repositório Secreto para montar segredos armazenados no Cofre de Chaves do Azure em seus pods.
Próximas etapas
Topologia de rede e conectividade para o Azure Red Hat OpenShift