Рекомендации по управлению удостоверениями и доступом для Azure Red Hat OpenShift
Управление удостоверениями и доступом является ключевой частью параметров безопасности организации при развертывании акселератора целевой зоны Azure Red Hat OpenShift. Управление удостоверениями и доступом включает такие области, как удостоверения кластера, удостоверения рабочей нагрузки и доступ к операторам.
Используйте эти рекомендации и рекомендации по созданию плана управления удостоверениями и доступом, который соответствует требованиям вашей организации в развертывании Azure Red Hat OpenShift.
Рекомендации по проектированию
- Решите, как создать субъект-службу и указать разрешения, необходимые для удостоверения кластера Azure Red Hat OpenShift, и управлять ими:
- Создайте субъект-службу и назначьте разрешения вручную.
- Автоматически создайте субъект-службу и назначьте разрешения при создании кластера.
- Решите, как пройти проверку подлинности доступа к кластеру:
- Сертификаты клиентов
- Идентификатор Microsoft Entra
- Решите о мультитенантном кластере и настройке управления доступом на основе ролей (RBAC) в кластере Azure Red Hat OpenShift.
- Определите метод, используемый для изоляции: проекты Red Hat OpenShift, сетевая политика или кластер.
- Определите проекты OpenShift, роли проекта, роли кластера и выделение вычислительных ресурсов для каждой группы приложений для изоляции.
- Определите, могут ли команды приложений читать другие проекты OpenShift в кластере.
- Определите настраиваемые роли Azure RBAC для целевой зоны Azure Red Hat OpenShift.
- Определите, какие разрешения необходимы для роли инженерии надежности сайта (SRE) для администрирования и устранения неполадок всего кластера.
- Определите, какие разрешения необходимы для операций безопасности (SecOps).
- Определите, какие разрешения требуются владельцу целевой зоны.
- Определите, какие разрешения необходимы для развертывания в кластере команд приложений.
- Решите, как хранить секреты и конфиденциальную информацию в кластере. Секреты и конфиденциальные сведения можно хранить в виде секретов Kubernetes в кодировке Base64 или использовать поставщик хранилища секретов, например поставщик Azure Key Vault для драйвера CSI хранилища секретов.
Рекомендации по проектированию
- Удостоверения кластера
- Создайте субъект-службу и определите пользовательские роли Azure RBAC для целевой зоны Azure Red Hat OpenShift. Роли упрощают управление разрешениями для субъекта-службы кластера Azure Red Hat OpenShift.
- Доступ к кластеру
- Настройте интеграцию Microsoft Entra, чтобы использовать идентификатор Microsoft Entra для проверки подлинности пользователей в кластере Azure Red Hat OpenShift.
- Определите проекты OpenShift, чтобы ограничить привилегии RBAC и изолировать рабочие нагрузки в кластере.
- Определите необходимые роли RBAC в OpenShift, которые область область локального проекта или кластера область.
- Используйте Azure Red Hat OpenShift для создания привязок ролей, связанных с группами Microsoft Entra для SRE, SecOps и доступа разработчика.
- Используйте Azure Red Hat OpenShift с идентификатором Microsoft Entra, чтобы ограничить права пользователей и свести к минимуму количество пользователей, имеющих права администратора. Ограничение прав пользователя защищает доступ к конфигурации и секретам.
- Предоставьте полный доступ только по мере необходимости и jit-времени. Используйте управление привилегированными пользователями в идентификаторе Microsoft Entra и управлении удостоверениями и доступом в целевых зонах Azure.
- Рабочие нагрузки кластера
- Для приложений, которым требуется доступ к конфиденциальной информации, используйте субъект-службу и поставщик Azure Key Vault для драйвера CSI хранилища секретов для подключения секретов, хранящихся в Azure Key Vault, к вашим модулям pod.