Partilhar via

Considerações sobre gerenciamento de identidade e acesso para o Azure Red Hat OpenShift

  • Artigo

O gerenciamento de identidade e acesso é uma parte fundamental das configurações de segurança de uma organização quando ela implanta o acelerador de zona de aterrissagem do Azure Red Hat OpenShift. O gerenciamento de identidade e acesso inclui áreas como identidades de cluster, identidades de carga de trabalho e acesso de operador.

Use estas considerações e recomendações de design para criar um plano de gerenciamento de identidade e acesso que atenda aos requisitos da sua organização na implantação do Azure Red Hat OpenShift.

Considerações de design

  • Decida como criar e gerenciar sua entidade de serviço e as permissões que ela deve ter para a identidade do cluster do Azure Red Hat OpenShift:
    • Crie a entidade de serviço e atribua permissões manualmente.
    • Crie automaticamente a entidade de serviço e atribua permissões ao criar o cluster.
  • Decida como autenticar o acesso ao cluster:
  • Decida sobre um cluster de multilocação e como configurar o RBAC (controle de acesso baseado em função) em seu cluster do Azure Red Hat OpenShift.
    • Decida um método a ser usado para isolamento: projetos Red Hat OpenShift, política de rede ou cluster.
    • Decida sobre os projetos OpenShift, funções de projeto, funções de cluster e alocação de computação por equipe de aplicativo para isolamento.
    • Decida se as equipes de aplicativos podem ler outros projetos OpenShift em seu cluster.
  • Decida sobre funções personalizadas do Azure RBAC para sua zona de aterrissagem do Azure Red Hat OpenShift.
    • Decida quais permissões são necessárias para a função SRE (engenharia de confiabilidade do site) administrar e solucionar problemas de todo o cluster.
    • Decida quais permissões são necessárias para operações de segurança (SecOps).
    • Decida quais permissões são necessárias para o proprietário da zona de pouso.
    • Decida quais permissões são necessárias para as equipes de aplicativos implantarem no cluster.
  • Decida como armazenar segredos e informações confidenciais no cluster. Você pode armazenar segredos e informações confidenciais como segredos do Kubernetes codificados em Base64 ou usar um provedor de armazenamento secreto, como o Azure Key Vault Provider for Secrets Store CSI Driver.

Recomendações de design

  • Identidades de cluster
    • Crie uma entidade de serviço e defina as funções personalizadas do Azure RBAC para sua zona de aterrissagem do Azure Red Hat OpenShift. As funções simplificam como você gerencia permissões para sua entidade de serviço de cluster do Azure Red Hat OpenShift.
  • Acesso ao cluster
    • Configure a integração do Microsoft Entra para usar a ID do Microsoft Entra para autenticar usuários em seu cluster do Azure Red Hat OpenShift.
    • Defina projetos OpenShift para restringir o privilégio RBAC e isolar cargas de trabalho em seu cluster.
    • Defina as funções RBAC necessárias no OpenShift que têm como escopo um escopo de projeto local ou um escopo de cluster.
    • Use o Azure Red Hat OpenShift para criar associações de função vinculadas a grupos do Microsoft Entra para SRE, SecOps e acesso de desenvolvedor.
    • Use o Azure Red Hat OpenShift com o Microsoft Entra ID para limitar os direitos de usuário e minimizar o número de usuários que têm direitos de administrador. Limitar os direitos do usuário protege a configuração e o acesso secreto.
    • Dê acesso total apenas conforme necessário e just-in-time. Use o Gerenciamento Privilegiado de Identidades no Microsoft Entra ID e o gerenciamento de identidade e acesso nas zonas de aterrissagem do Azure.
  • Cargas de trabalho de cluster
    • Para aplicativos que exigem acesso a informações confidenciais, use uma entidade de serviço e o Provedor do Cofre de Chaves do Azure para Driver CSI de Repositório Secreto para montar segredos armazenados no Cofre de Chaves do Azure em seus pods.

Próximos passos

Topologia de rede e conectividade para o Azure Red Hat OpenShift