Bevilja åtkomst till Azure Kubernetes Fleet Manager-resurser med rollbaserad åtkomstkontroll i Azure
Rollbaserad åtkomstkontroll i Azure (Azure RBAC) är ett auktoriseringssystem som bygger på Azure Resource Manager och som ger detaljerad åtkomsthantering till Azure-resurser.
Den här artikeln innehåller en översikt över de olika inbyggda Azure RBAC-roller som du kan använda för att komma åt Azure Kubernetes Fleet Manager-resurser (Kubernetes Fleet).
Kontrollplan
Den här rollen ger åtkomst till Azure Resource Manager-resurser (ARM) fleet-resurser och underresurser och gäller både Kubernetes Fleet-resurs med och utan ett hubbkluster.
Rollnamn | beskrivning | Användning |
---|---|---|
Azure Kubernetes Fleet Manager-deltagare | Den här rollen ger läs- och skrivåtkomst till Azure-resurser som tillhandahålls av Azure Kubernetes Fleet Manager, inklusive flottor, medlemmar i flottan, uppdateringsstrategier för flottan, uppdateringskörningar för flottan med mera. | Du kan använda den här rollen för att bevilja deltagarbehörigheter som endast gäller för Kubernetes Fleet-resurser och underresurser. Den här rollen kan till exempel ges till en Azure-administratör som har till uppgift att definiera och underhålla fleet-resurser. |
Dataplanet
De här rollerna ger åtkomst till Kubernetes-objekt för Fleet Hub och gäller därför endast för Kubernetes Fleet-resurser med ett hubbkluster.
Du kan tilldela dataplansroller i Fleet Hub-klusteromfånget eller i ett enskilt Kubernetes-namnområdesomfång genom att lägga /namespace/<namespace>
till rolltilldelningsomfånget.
Rollnamn | beskrivning | Användning |
---|---|---|
RBAC-läsare för Azure Kubernetes Fleet Manager | Ger skrivskyddad åtkomst till de flesta Kubernetes-resurser i ett namnområde i det flotthanterade hubbklustret. Det tillåter inte visning av roller eller rollbindningar. Den här rollen tillåter inte visning av hemligheter eftersom läsning av innehållet i Hemligheter ger åtkomst till ServiceAccount autentiseringsuppgifter i namnområdet, vilket skulle ge API-åtkomst som alla ServiceAccount i namnområdet (en form av eskalering av privilegier). Om du använder den här rollen i klusteromfånget får du åtkomst till alla namnområden. |
Du kan använda den här rollen för att ge möjlighet att läsa valda meningslösa Kubernetes-objekt i antingen namnområde eller klusteromfång. Du kan till exempel bevilja den här rollen i granskningssyfte. |
Azure Kubernetes Fleet Manager RBAC Writer | Ger läs- och skrivåtkomst till de flesta Kubernetes-resurser i ett namnområde i det flotthanterade hubbklustret. Den här rollen tillåter inte visning eller ändring av roller eller rollbindningar. Den här rollen tillåter dock åtkomst till hemligheter som alla ServiceAccount i namnområdet, så den kan användas för att få API-åtkomstnivåerna för alla ServiceAccount i namnområdet. Om du använder den här rollen i klusteromfånget får du åtkomst till alla namnområden. |
Du kan använda den här rollen för att ge möjlighet att skriva valda Kubernetes-objekt i antingen namnområde eller klusteromfång. Till exempel för användning av ett projektteam som ansvarar för objekt i ett visst namnområde. |
RBAC-administratör för Azure Kubernetes Fleet Manager | Ger läs- och skrivåtkomst till Kubernetes-resurser i ett namnområde i det vagnparkshanterade hubbklustret. Ger skrivbehörigheter för de flesta objekt inom ett namnområde, förutom själva ResourceQuota objektet och själva namnområdesobjektet. Om du använder den här rollen i klusteromfånget får du åtkomst till alla namnområden. |
Du kan använda den här rollen för att ge möjlighet att administrera valda Kubernetes-objekt (inklusive roller och rollbindningar) i antingen namnområde eller klusteromfång. Till exempel för användning av ett projektteam som ansvarar för objekt i ett visst namnområde. |
Azure Kubernetes Fleet Manager RBAC-klusteradministratör | Ger läs-/skrivåtkomst till alla Kubernetes-resurser i det vagnparkshanterade hubbklustret. | Du kan använda den här rollen för att ge åtkomst till alla Kubernetes-objekt (inklusive CRD:er) i antingen namnrymden eller klusteromfånget. |
Exempel på rolltilldelningar
Du kan bevilja Azure RBAC-roller med hjälp av Azure CLI. Om du till exempel vill skapa en rolltilldelning i Kubernetes Fleet Hub-klusteromfånget:
IDENTITY=$(az ad signed-in-user show --output tsv --query id)
FLEET_ID=$(az fleet show --resource-group $GROUP --name $FLEET --output tsv --query id)
az role assignment create --role 'Azure Kubernetes Fleet Manager RBAC Reader' --assignee "$IDENTITY" --scope "$FLEET_ID"
Du kan också omfångsbegränsa rolltilldelningar till ett enskilt Kubernetes-namnområde. Om du till exempel vill skapa en rolltilldelning för kubernetes Fleet-hubbens standardnamnområde för Kubernetes:
IDENTITY=$(az ad signed-in-user show --output tsv --query id)
FLEET_ID=$(az fleet show --resource-group $GROUP --name $FLEET --output tsv --query id)
az role assignment create --role 'Azure Kubernetes Fleet Manager RBAC Reader' --assignee "$IDENTITY" --scope "$FLEET_ID/namespaces/default"
Azure Kubernetes Service