Dela via


Bevilja åtkomst till Azure Kubernetes Fleet Manager-resurser med rollbaserad åtkomstkontroll i Azure

Rollbaserad åtkomstkontroll i Azure (Azure RBAC) är ett auktoriseringssystem som bygger på Azure Resource Manager och som ger detaljerad åtkomsthantering till Azure-resurser.

Den här artikeln innehåller en översikt över de olika inbyggda Azure RBAC-roller som du kan använda för att komma åt Azure Kubernetes Fleet Manager-resurser (Kubernetes Fleet).

Kontrollplan

Den här rollen ger åtkomst till Azure Resource Manager-resurser (ARM) fleet-resurser och underresurser och gäller både Kubernetes Fleet-resurs med och utan ett hubbkluster.

Rollnamn beskrivning Användning
Azure Kubernetes Fleet Manager-deltagare Den här rollen ger läs- och skrivåtkomst till Azure-resurser som tillhandahålls av Azure Kubernetes Fleet Manager, inklusive flottor, medlemmar i flottan, uppdateringsstrategier för flottan, uppdateringskörningar för flottan med mera. Du kan använda den här rollen för att bevilja deltagarbehörigheter som endast gäller för Kubernetes Fleet-resurser och underresurser. Den här rollen kan till exempel ges till en Azure-administratör som har till uppgift att definiera och underhålla fleet-resurser.

Dataplanet

De här rollerna ger åtkomst till Kubernetes-objekt för Fleet Hub och gäller därför endast för Kubernetes Fleet-resurser med ett hubbkluster.

Du kan tilldela dataplansroller i Fleet Hub-klusteromfånget eller i ett enskilt Kubernetes-namnområdesomfång genom att lägga /namespace/<namespace> till rolltilldelningsomfånget.

Rollnamn beskrivning Användning
RBAC-läsare för Azure Kubernetes Fleet Manager Ger skrivskyddad åtkomst till de flesta Kubernetes-resurser i ett namnområde i det flotthanterade hubbklustret. Det tillåter inte visning av roller eller rollbindningar. Den här rollen tillåter inte visning av hemligheter eftersom läsning av innehållet i Hemligheter ger åtkomst till ServiceAccount autentiseringsuppgifter i namnområdet, vilket skulle ge API-åtkomst som alla ServiceAccount i namnområdet (en form av eskalering av privilegier). Om du använder den här rollen i klusteromfånget får du åtkomst till alla namnområden. Du kan använda den här rollen för att ge möjlighet att läsa valda meningslösa Kubernetes-objekt i antingen namnområde eller klusteromfång. Du kan till exempel bevilja den här rollen i granskningssyfte.
Azure Kubernetes Fleet Manager RBAC Writer Ger läs- och skrivåtkomst till de flesta Kubernetes-resurser i ett namnområde i det flotthanterade hubbklustret. Den här rollen tillåter inte visning eller ändring av roller eller rollbindningar. Den här rollen tillåter dock åtkomst till hemligheter som alla ServiceAccount i namnområdet, så den kan användas för att få API-åtkomstnivåerna för alla ServiceAccount i namnområdet. Om du använder den här rollen i klusteromfånget får du åtkomst till alla namnområden. Du kan använda den här rollen för att ge möjlighet att skriva valda Kubernetes-objekt i antingen namnområde eller klusteromfång. Till exempel för användning av ett projektteam som ansvarar för objekt i ett visst namnområde.
RBAC-administratör för Azure Kubernetes Fleet Manager Ger läs- och skrivåtkomst till Kubernetes-resurser i ett namnområde i det vagnparkshanterade hubbklustret. Ger skrivbehörigheter för de flesta objekt inom ett namnområde, förutom själva ResourceQuota objektet och själva namnområdesobjektet. Om du använder den här rollen i klusteromfånget får du åtkomst till alla namnområden. Du kan använda den här rollen för att ge möjlighet att administrera valda Kubernetes-objekt (inklusive roller och rollbindningar) i antingen namnområde eller klusteromfång. Till exempel för användning av ett projektteam som ansvarar för objekt i ett visst namnområde.
Azure Kubernetes Fleet Manager RBAC-klusteradministratör Ger läs-/skrivåtkomst till alla Kubernetes-resurser i det vagnparkshanterade hubbklustret. Du kan använda den här rollen för att ge åtkomst till alla Kubernetes-objekt (inklusive CRD:er) i antingen namnrymden eller klusteromfånget.

Exempel på rolltilldelningar

Du kan bevilja Azure RBAC-roller med hjälp av Azure CLI. Om du till exempel vill skapa en rolltilldelning i Kubernetes Fleet Hub-klusteromfånget:

IDENTITY=$(az ad signed-in-user show --output tsv --query id)
FLEET_ID=$(az fleet show --resource-group $GROUP --name $FLEET --output tsv --query id)

az role assignment create --role 'Azure Kubernetes Fleet Manager RBAC Reader' --assignee "$IDENTITY" --scope "$FLEET_ID"

Du kan också omfångsbegränsa rolltilldelningar till ett enskilt Kubernetes-namnområde. Om du till exempel vill skapa en rolltilldelning för kubernetes Fleet-hubbens standardnamnområde för Kubernetes:

IDENTITY=$(az ad signed-in-user show --output tsv --query id)
FLEET_ID=$(az fleet show --resource-group $GROUP --name $FLEET --output tsv --query id)

az role assignment create --role 'Azure Kubernetes Fleet Manager RBAC Reader' --assignee "$IDENTITY" --scope "$FLEET_ID/namespaces/default"