Överväganden för identitets- och åtkomsthantering för AKS

Den här artikeln innehåller designöverväganden och rekommendationer för identitets- och åtkomsthantering när du använder Azure Kubernetes Service (AKS). Det finns flera aspekter av identitets- och åtkomsthantering, inklusive klusteridentiteter, arbetsbelastningsidentiteter och operatörsåtkomst.

Tips för utformning

• Bestäm vilken klusteridentitet som ska användas (hanterad identitet eller tjänstens huvudnamn).
• Bestäm hur du ska autentisera klusteråtkomst: baserat på klientcertifikat eller via Microsoft Entra-ID.
• Bestäm om ett kluster för flera klientorganisationer och hur du konfigurerar rollbaserad åtkomstkontroll (RBAC) i Kubernetes.
  • Välj en metod för isolering. Metoderna omfattar namnområde, nätverksprincip (tillåts endast av Azure CNI), beräkning (nodpool) och kluster.
  • Fastställa Kubernetes RBAC-roller och beräkningsallokering per programteam för isolering.
  • Bestäm om programteam kan läsa andra arbetsbelastningar i sina kluster eller i andra kluster.
• Fastställ behörigheterna för anpassade Azure RBAC-roller för din AKS-landningszon.
  • Bestäm vilka behörigheter som krävs för SRE-rollen (Site Reliability Engineering) så att rollen kan administrera och felsöka hela klustret.
  • Bestäm vilka behörigheter som krävs för SecOps.
  • Bestäm vilka behörigheter som krävs för ägaren av landningszonen.
  • Bestäm vilka behörigheter programteamen behöver för att distribuera till klustret.
• Bestäm om du behöver arbetsbelastningsidentiteter (Microsoft Entra-arbetsbelastnings-ID). Du kan behöva dem för tjänster som Azure Key Vault-integrering och Azure Cosmos DB.

Designrekommendationer

• Klusteridentiteter.
  • Använd din egen hanterade identitet för ditt AKS-kluster.
  • Definiera anpassade Azure RBAC-roller för din AKS-landningszon för att förenkla hanteringen av nödvändiga behörigheter för klusterhanterad identitet.
• Klusteråtkomst.
  • Använd Kubernetes RBAC med Microsoft Entra-ID för att begränsa behörigheter och minimera administratörsbehörigheter. Det hjälper till att skydda konfiguration och åtkomst till hemligheter.
  • Använd AKS-hanterad Microsoft Entra-integrering så att du kan använda Microsoft Entra-ID för autentisering och operatörs- och utvecklaråtkomst.
• Definiera nödvändiga RBAC-roller och rollbindningar i Kubernetes.
  • Använd Kubernetes-roller och rollbindningar till Microsoft Entra-grupper för platstillförlitlighetsutveckling (SRE), SecOps och utvecklaråtkomst.
  • Överväg att använda Azure RBAC för Kubernetes, som möjliggör enhetlig hantering och åtkomstkontroll över Azure-resurser, AKS- och Kubernetes-resurser. När Azure RBAC för Kubernetes är aktiverat behöver du inte separat hantera användaridentiteter och autentiseringsuppgifter för Kubernetes. Microsoft Entra-huvudkonton verifieras exklusivt av Azure RBAC, men vanliga Kubernetes-användare och tjänstkonton verifieras exklusivt av Kubernetes RBAC.
• Bevilja fullständig SRE-åtkomst just-in-time efter behov.
  • Använd Privileged Identity Management i Microsoft Entra ID och identitets- och åtkomsthantering i Azure-landningszoner.
• Använd Microsoft Entra-arbetsbelastnings-ID för Kubernetes. När du implementerar den här federationen kan utvecklare använda inbyggda Kubernetes-tjänstkonton och federation för att få åtkomst till resurser som hanteras av Microsoft Entra-ID, till exempel Azure och Microsoft Graph.