Dela via

Överväganden för identitets- och åtkomsthantering för Azure Red Hat OpenShift

  • Artikel

Identitets- och åtkomsthantering är en viktig del av en organisations säkerhetsinställningar när den distribuerar Azure Red Hat OpenShift-acceleratorn för landningszoner. Identitets- och åtkomsthantering omfattar områden som klusteridentiteter, arbetsbelastningsidentiteter och operatörsåtkomst.

Använd dessa designöverväganden och rekommendationer för att skapa en identitets- och åtkomsthanteringsplan som uppfyller organisationens krav i din Azure Red Hat OpenShift-distribution.

Tips för utformning

  • Bestäm hur du ska skapa och hantera tjänstens huvudnamn och vilka behörigheter det måste ha för Azure Red Hat OpenShift-klusteridentiteten:
    • Skapa tjänstens huvudnamn och tilldela behörigheter manuellt.
    • Skapa tjänstens huvudnamn automatiskt och tilldela behörigheter när du skapar klustret.
  • Bestäm hur klusteråtkomst ska autentiseras:
  • Bestäm om ett kluster med flera klientorganisationer och hur du konfigurerar rollbaserad åtkomstkontroll (RBAC) i ditt Azure Red Hat OpenShift-kluster.
    • Besluta om en metod som ska användas för isolering: Red Hat OpenShift-projekt, nätverksprincip eller kluster.
    • Besluta om OpenShift-projekt, projektroller, klusterroller och beräkningsallokering per programteam för isolering.
    • Bestäm om programteam kan läsa andra OpenShift-projekt i klustret.
  • Bestäm anpassade Azure RBAC-roller för din Azure Red Hat OpenShift-landningszon.
    • Bestäm vilka behörigheter som krävs för SRE-rollen (Site Reliability Engineering) för att administrera och felsöka hela klustret.
    • Bestäm vilka behörigheter som krävs för säkerhetsåtgärder (SecOps).
    • Bestäm vilka behörigheter som krävs för ägaren av landningszonen.
    • Bestäm vilka behörigheter som krävs för att programteamen ska kunna distribuera till klustret.
  • Bestäm hur du ska lagra hemligheter och känslig information i klustret. Du kan lagra hemligheter och känslig information som Base64-kodade Kubernetes-hemligheter eller använda en hemlig lagringsprovider som Azure Key Vault Provider for Secrets Store CSI Driver.

Designrekommendationer

  • Klusteridentiteter
    • Skapa ett huvudnamn för tjänsten och definiera anpassade Azure RBAC-roller för din Azure Red Hat OpenShift-landningszon. Roller förenklar hur du hanterar behörigheter för azure Red Hat OpenShift-klustertjänstens huvudnamn.
  • Klusteråtkomst
    • Konfigurera Microsoft Entra-integrering för att använda Microsoft Entra-ID för att autentisera användare i ditt Azure Red Hat OpenShift-kluster.
    • Definiera OpenShift-projekt för att begränsa RBAC-behörighet och isolera arbetsbelastningar i klustret.
    • Definiera nödvändiga RBAC-roller i OpenShift som är begränsade till antingen ett lokalt projektomfång eller ett klusteromfång.
    • Använd Azure Red Hat OpenShift för att skapa rollbindningar som är knutna till Microsoft Entra-grupper för SRE, SecOps och utvecklaråtkomst.
    • Använd Azure Red Hat OpenShift med Microsoft Entra-ID för att begränsa användarrättigheter och minimera antalet användare som har administratörsbehörighet. Om du begränsar användarrättigheterna skyddas åtkomsten till konfiguration och hemligheter.
    • Ge fullständig åtkomst endast efter behov och just-in-time. Använd Privileged Identity Management i Microsoft Entra ID och identitets- och åtkomsthantering i Azure-landningszoner.
  • Klusterarbetsbelastningar
    • För program som kräver åtkomst till känslig information använder du tjänstens huvudnamn och Azure Key Vault-providern för CSI-drivrutinen för hemlig lagring för att montera hemligheter som lagras i Azure Key Vault i dina poddar.

Nästa steg

Nätverkstopologi och anslutning för Azure Red Hat OpenShift