AKS 的 Azure 計費和 Active Directory 租使用者考慮 （選擇性）

企業註冊並非 AKS 登陸區域加速器的需求。 針對大部分的客戶實作，在部署 AKS 的 Azure 登陸區域時，企業註冊和 Active Directory 租使用者的標準最佳做法不會變更。 很少有特定考慮或建議會影響企業註冊或 Active Directory 租使用者決策。 請參閱下列考慮，以判斷 AKS 需求是否會影響現有的租使用者決策。

不過，請務必瞭解雲端平臺小組先前做出的任何決策，以瞭解現有的 企業註冊或 Active Directory 租使用者 決策。

您可能也想要檢閱 身分識別和存取管理考慮 ，以瞭解 Active Directory 租使用者如何套用在驗證和授權解決方案的設計中。 您可能也想要評估 資源組織考慮 ，以瞭解註冊如何組織成管理群組、訂用帳戶和資源群組。

設計考量

大部分的客戶都會將其主要 Microsoft Entra 租使用者識別為其 Kubernetes 角色型存取控制 （RBAC） Microsoft Entra 租使用者。 但是，Kubernetes 允許不同的 RBAC 管理提升許可權。 在某些情況下，您可能會想要建立與租使用者不同的 Kubernetes RBAC Microsoft Entra 租使用者，以控管登陸區域的身分識別。 建立 AKS 的 Azure 登陸區域時，這可能會導致一些特定考慮。 以下是可能導致您考慮租使用者指派的替代方法的指標：

• 登陸區域或 Kubernetes 主機是否會作為清理室開發的一部分？
• 是否有更高的合規性需求，這些需求會指定操作主機的人員與操作登陸區域環境的帳戶之間的職責分離？
• 在單一登陸區域中具有多部主機的集中管理環境中，是否需要對遭入侵的身分識別進行延伸爆炸半徑控制？

管理多個 Microsoft Entra 租使用者時，必須根據從這類拓撲獲得的好處來權衡管理成本。 在多個租使用者中，很少會是任何 Microsoft 建議的一部分。 但上述問題可能表示需要考慮此選項。