Možnosti identit a přístupu pro Azure Kubernetes Service (AKS)

  • Článek
  • 14 min ke čtení

Přístup ke clusterům Kubernetes můžete ověřovat, autorizovat, zabezpečit a řídit různými způsoby:

  • Pomocí řízení přístupu na základě role Kubernetes (Kubernetes RBAC) můžete uživatelům, skupinám a účtům služeb udělit přístup jenom k prostředkům, které potřebují.
  • S Azure Kubernetes Service (AKS) můžete dále vylepšit strukturu zabezpečení a oprávnění pomocí Azure Active Directory a Azure RBAC.

Kubernetes RBAC a AKS vám pomůžou zabezpečit přístup ke clusteru a poskytnout vývojářům a operátorům jenom minimální požadovaná oprávnění.

Tento článek představuje základní koncepty, které vám pomůžou ověřovat a přiřazovat oprávnění v AKS.

Kubernetes RBAC

Kubernetes RBAC poskytuje podrobné filtrování uživatelských akcí. Pomocí tohoto řídicího mechanismu:

  • Uživatelům nebo skupinám uživatelů přiřadíte oprávnění k vytváření a úpravám prostředků nebo zobrazení protokolů ze spouštění úloh aplikací.
  • Oprávnění můžete nastavit na jeden obor názvů nebo v celém clusteru AKS.
  • Vytvoříte role pro definování oprávnění a pak tyto role přiřadíte uživatelům s vazbami rolí.

Další informace najdete v tématu Použití autorizace RBAC Kubernetes.

Role a role clusteru

Role

Před přiřazením oprávnění uživatelům pomocí RBAC Kubernetes definujete uživatelská oprávnění jako roli. Udělte oprávnění v rámci oboru názvů pomocí rolí.

Poznámka

Role Kubernetes udělují oprávnění; neodmítají oprávnění.

Pokud chcete udělit oprávnění v celém clusteru nebo prostředkům clusteru mimo daný obor názvů, můžete místo toho použít role clusteru.

Role clusteru

Role clusteru uděluje a používá oprávnění pro prostředky v celém clusteru, nikoli na konkrétní obor názvů.

Vazby rolí a clusterRoleBindings

Jakmile definujete role pro udělení oprávnění k prostředkům, přiřadíte tato oprávnění RBAC Kubernetes pomocí roleBinding. Pokud se váš cluster AKS integruje se službou Azure Active Directory (Azure AD),udělují vazby rolí oprávnění Azure AD uživatelům provádět akce v rámci clusteru. Podívejte se, jak řídit přístup k prostředkům clusteru pomocí řízení přístupu na základě role Kubernetes a identit Azure Active Directory.

Vazby rolí

Přiřaďte role uživatelům pro daný obor názvů pomocí vazby rolí. Pomocí roleBindings můžete logicky oddělit jeden cluster AKS, který uživatelům umožňuje přístup k prostředkům aplikace pouze v přiřazeném oboru názvů.

K vytvoření vazby rolí v celém clusteru nebo k prostředkům clusteru mimo daný obor názvů místo toho použijete ClusterRoleBindings.

Vazby rolí clusteru

Při použití ClusterRoleBinding vytvoříte vazbu rolí na uživatele a použijete je pro prostředky v celém clusteru, nikoli na konkrétní obor názvů. Tento přístup umožňuje správcům nebo technikům podpory udělit přístup ke všem prostředkům v clusteru AKS.

Poznámka

Microsoft/AKS provádí všechny akce clusteru se souhlasem uživatele v rámci předdefinované role aks-service Kubernetes a integrované vazby aks-service-rolebindingrolí .

Tato role umožňuje AKS řešit a diagnostikovat problémy s clustery, ale nemůže upravovat oprávnění ani vytvářet role nebo vazby rolí ani jiné akce s vysokými oprávněními. Přístup k roli je povolený jenom v rámci aktivních lístků podpory s přístupem za běhu (JIT). Přečtěte si další informace o zásadách podpory AKS.

Účty služby Kubernetes

Účty služeb jsou jedním z primárních typů uživatelů v Kubernetes. Rozhraní API Kubernetes uchovává a spravuje účty služeb. Přihlašovací údaje účtu služby se ukládají jako tajné kódy Kubernetes, což umožňuje jejich používání autorizovanými pody ke komunikaci se serverem API. Většina požadavků rozhraní API poskytuje ověřovací token pro účet služby nebo normální uživatelský účet.

Normální uživatelské účty umožňují tradiční přístup pro lidské správce nebo vývojáře, nejen služby a procesy. I když Kubernetes neposkytuje řešení pro správu identit pro ukládání běžných uživatelských účtů a hesel, můžete do Kubernetes integrovat externí řešení identit. U clusterů AKS je toto integrované řešení identit Azure AD.

Další informace o možnostech identit v Kubernetes najdete v tématu Ověřování Kubernetes.

Řízení přístupu na základě role v Azure

Řízení přístupu na základě role v Azure (RBAC) je autorizační systém založený na azure Resource Manager, který poskytuje podrobnou správu přístupu k prostředkům Azure.

Systém RBAC Description
Kubernetes RBAC Navržený tak, aby pracoval na prostředcích Kubernetes v rámci clusteru AKS.
Azure RBAC Navržené tak, aby fungovaly na prostředcích v rámci předplatného Azure.

Pomocí Azure RBAC vytvoříte definici role , která popisuje oprávnění, která se mají použít. Potom přiřadíte uživateli nebo skupině tuto definici role prostřednictvím přiřazení role pro konkrétní obor. Oborem může být jednotlivý prostředek, skupina prostředků nebo v rámci předplatného.

Další informace najdete v tématu Co je řízení přístupu na základě role v Azure (Azure RBAC)?

K plnému provozu clusteru AKS jsou potřeba dvě úrovně přístupu:

Azure RBAC pro autorizaci přístupu k prostředku AKS

Pomocí Azure RBAC můžete uživatelům (nebo identitám) poskytnout podrobný přístup k prostředkům AKS v rámci jednoho nebo několika předplatných. K škálování a upgradu clusteru můžete například použít roli přispěvatele Azure Kubernetes Service. Mezitím má jiný uživatel s rolí Azure Kubernetes Service clusteru Správa oprávnění pouze k vyžádání Správa kubeconfig.

Případně můžete uživateli udělit obecnou roli Přispěvatel . S obecnou rolí Přispěvatel mohou uživatelé provádět výše uvedená oprávnění a všechny možné akce pro prostředek AKS s výjimkou oprávnění pro správu.

Pomocí Azure RBAC definujte přístup ke konfiguračnímu souboru Kubernetes v AKS.

Azure RBAC pro autorizaci Kubernetes

Díky integraci Azure RBAC bude AKS používat server webhooku autorizace Kubernetes, abyste mohli spravovat Azure AD integrovaná oprávnění a přiřazení prostředků clusteru Kubernetes pomocí definice role Azure a přiřazení rolí.

Tok autorizace Azure RBAC pro Kubernetes

Jak je znázorněno na výše uvedeném diagramu, při použití integrace Azure RBAC budou všechny požadavky na rozhraní Kubernetes API sledovat stejný tok ověřování, jak je vysvětleno v části Integrace Azure Active Directory.

Pokud identita, která vytváří požadavek, existuje v Azure AD, Azure se seskupí s Kubernetes RBAC a žádost autorizuje. Pokud identita existuje mimo Azure AD (tj. účet služby Kubernetes), autorizace se odloží na normální řízení přístupu na základě role Kubernetes.

V tomto scénáři použijete mechanismy a rozhraní API Azure RBAC k přiřazení předdefinovaných rolí uživatelů nebo vytváření vlastních rolí stejně jako u rolí Kubernetes.

Díky této funkci udělíte uživatelům nejen oprávnění k prostředku AKS napříč předplatnými, ale také nakonfigurujete roli a oprávnění pro každý z těchto clusterů, které řídí přístup k rozhraní KUBERNEtes API. Roli můžete například udělit Azure Kubernetes Service RBAC Reader v oboru předplatného. Příjemce role bude moct vypsat a získat všechny objekty Kubernetes ze všech clusterů bez jejich úprav.

Důležité

Před použitím této funkce musíte povolit Azure RBAC pro autorizaci Kubernetes. Další podrobnosti a podrobné pokyny najdete v našem průvodci používáním Azure RBAC pro autorizaci Kubernetes .

Vestavěné role

AKS poskytuje následující čtyři předdefinované role. Jsou podobné předdefinovaným rolím Kubernetes s několika rozdíly, jako je podpora CRD. Podívejte se na úplný seznam akcí povolených jednotlivými předdefinované role Azure.

Role Popis
Azure Kubernetes Service čtenář RBAC Umožňuje přístup jen pro čtení k zobrazení většiny objektů v oboru názvů.
Nepovoluje zobrazování rolí nebo vazeb rolí.
Nepovoluje prohlížení Secrets. Secrets Čtení obsahu umožňuje přístup k přihlašovacím ServiceAccount údajům v oboru názvů, což by umožnilo přístup k rozhraní API v ServiceAccount oboru názvů (forma eskalace oprávnění).
Azure Kubernetes Service zapisovač RBAC Umožňuje přístup pro čtení a zápis k většině objektů v oboru názvů.
Nepovoluje zobrazování nebo úpravy rolí ani vazeb rolí.
Umožňuje přístup k Secrets podům jako jakýkoli účet ServiceAccount v oboru názvů, takže ho můžete použít k získání úrovní přístupu rozhraní API libovolného účtu ServiceAccount v oboru názvů.
Azure Kubernetes Service RBAC Správa Umožňuje přístup správce, který má být udělen v rámci oboru názvů.
Umožňuje přístup pro čtení a zápis k většině prostředků v oboru názvů (nebo oboru clusteru), včetně možnosti vytvářet role a vazby rolí v rámci oboru názvů.
Nepovoluje přístup k zápisu do kvóty prostředků ani k samotnému oboru názvů.
Správa clusteru RBAC Azure Kubernetes Service Umožňuje superuživatelům přístup k provedení jakékoli akce u libovolného prostředku.
Poskytuje úplnou kontrolu nad každým prostředkem v clusteru a ve všech oborech názvů.

integrace Azure AD

Vylepšení zabezpečení clusteru AKS pomocí integrace Azure AD Založená na desetiletích správy podnikových identit je Azure AD víceklientem cloudovou službou pro správu adresářů a identit, která kombinuje základní adresářové služby, správu přístupu k aplikacím a ochranu identit. S Azure AD můžete integrovat místní identity do clusterů AKS a poskytnout tak jeden zdroj pro správu a zabezpečení účtů.

Integrace Azure Active Directory s clustery AKS

Díky Azure AD integrovaným clusterům AKS můžete uživatelům nebo skupinám udělit přístup k prostředkům Kubernetes v rámci oboru názvů nebo v clusteru.

  1. Pokud chcete získat kubectl kontext konfigurace, spustí uživatel příkaz az aks get-credentials .
  2. Když uživatel komunikuje s clusterem kubectlAKS, zobrazí se výzva k přihlášení pomocí svých Azure AD přihlašovacích údajů.

Tento přístup poskytuje jeden zdroj pro správu uživatelských účtů a přihlašovací údaje hesla. Uživatel má přístup pouze k prostředkům definovaným správcem clusteru.

Azure AD ověřování se poskytuje clusterům AKS s OpenID Connect. OpenID Connect je vrstva identity založená na protokolu OAuth 2.0. Další informace o OpenID Connect najdete v dokumentaci k open ID connect. Z clusteru Kubernetes se ověřování tokenu Webhook používá k ověření ověřovacích tokenů. Ověřování tokenu Webhook je nakonfigurováno a spravováno jako součást clusteru AKS.

Server webhooků a rozhraní API

Tok ověřování serveru Webhook a API

Jak je znázorněno na obrázku výše, server rozhraní API volá server webhooku AKS a provede následující kroky:

  1. kubectlpoužívá klientskou aplikaci Azure AD k přihlášení uživatelů pomocí toku udělení autorizace zařízení OAuth 2.0.
  2. Azure AD poskytuje access_token, id_token a refresh_token.
  3. Uživatel požádá kubectl o access_token od kubeconfig.
  4. kubectl odešle access_token na server API.
  5. Server rozhraní API je nakonfigurovaný se serverem Auth WebHook k provedení ověření.
  6. Server webhooku ověřování potvrzuje, že podpis webového tokenu JSON je platný, a to kontrolou Azure AD veřejného podpisového klíče.
  7. Serverová aplikace používá přihlašovací údaje zadané uživatelem k dotazování členství ve skupinách přihlášeného uživatele z ms Graph API.
  8. Na server ROZHRANÍ API se odešle odpověď s informacemi o uživateli, jako je například deklarace hlavního názvu uživatele (UPN) přístupového tokenu a členství ve skupině uživatele na základě ID objektu.
  9. Rozhraní API provádí rozhodnutí o autorizaci na základě role Nebo vazby role Kubernetes.
  10. Po autorizaci vrátí server rozhraní API odpověď na kubectl.
  11. kubectl poskytuje uživateli zpětnou vazbu.

Zjistěte, jak integrovat AKS s Azure AD s návody k integraci spravované Azure AD AKS.

Oprávnění služby AKS

Při vytváření clusteru AKS generuje nebo upravuje prostředky, které potřebuje (například virtuální počítače a síťové karty) k vytvoření a spuštění clusteru jménem uživatele. Tato identita se liší od oprávnění identity clusteru, které se vytvoří během vytváření clusteru.

Vytvoření a provoz oprávnění clusteru identit

Pro vytvoření a provoz clusteru jsou potřeba následující oprávnění.

Oprávnění Důvod
Microsoft.Compute/diskEncryptionSets/read Vyžaduje se pro čtení ID sady šifrování disků.
Microsoft.Compute/proximityPlacementGroups/write Vyžaduje se aktualizace skupin umístění blízkosti.
Microsoft.Network/applicationGateways/read
Microsoft.Network/applicationGateways/write
Microsoft.Network/virtualNetworks/subnets/join/action		 Vyžaduje se konfigurace aplikačních bran a připojení podsítě.
Microsoft.Network/virtualNetworks/subnets/join/action Vyžaduje se ke konfiguraci skupiny zabezpečení sítě pro podsíť při použití vlastní virtuální sítě.
Microsoft.Network/publicIPAddresses/join/action
Microsoft.Network/publicIPPrefixes/join/action		 Vyžaduje se konfigurace odchozích veřejných IP adres na Standard Load Balancer.
Microsoft.OperationalInsights/workspaces/sharedkeys/read
Microsoft.OperationalInsights/workspaces/read
Microsoft.OperationsManagement/solutions/write
Microsoft.OperationsManagement/solutions/read
Microsoft.ManagedIdentity/userAssignedIdentities/assign/action		 Vyžaduje se k vytvoření a aktualizaci pracovních prostorů Služby Log Analytics a monitorování Azure pro kontejnery.
Microsoft.Network/virtualNetworks/joinLoadBalancer/action Vyžaduje se konfigurace Load Balancer back-endových fondů založených na IP adresách.

Oprávnění identit clusteru AKS

Identita clusteru AKS, která je vytvořená a přidružená ke clusteru AKS, používají následující oprávnění. Každé oprávnění se používá z následujících důvodů:

Oprávnění Důvod
Microsoft.ContainerService/managedClusters/*
Vyžadováno pro vytváření uživatelů a provoz clusteru
Microsoft.Network/loadBalancers/delete
Microsoft.Network/loadBalancers/read
Microsoft.Network/loadBalancers/write		 Vyžaduje se ke konfiguraci nástroje pro vyrovnávání zatížení pro službu LoadBalancer.
Microsoft.Network/publicIPAddresses/delete
Microsoft.Network/publicIPAddresses/read
Microsoft.Network/publicIPAddresses/write		 Vyžaduje se k vyhledání a konfiguraci veřejných IP adres pro službu LoadBalancer.
Microsoft.Network/publicIPAddresses/join/action Vyžaduje se konfigurace veřejných IP adres pro službu LoadBalancer.
Microsoft.Network/networkSecurityGroups/read
Microsoft.Network/networkSecurityGroups/write		 Vyžaduje se vytvoření nebo odstranění pravidel zabezpečení pro službu LoadBalancer.
Microsoft.Compute/disks/delete
Microsoft.Compute/disks/read
Microsoft.Compute/disks/write
Microsoft.Compute/locations/DiskOperations/read		 Vyžaduje se ke konfiguraci azureDisks.
Microsoft.Storage/storageAccounts/delete
Microsoft.Storage/storageAccounts/listKeys/action
Microsoft.Storage/storageAccounts/read
Microsoft.Storage/storageAccounts/write
Microsoft.Storage/operations/read		 Vyžaduje se konfigurace účtů úložiště pro AzureFile nebo AzureDisk.
Microsoft.Network/routeTables/read
Microsoft.Network/routeTables/routes/delete
Microsoft.Network/routeTables/routes/read
Microsoft.Network/routeTables/routes/write
Microsoft.Network/routeTables/write		 Vyžaduje se ke konfiguraci směrovacích tabulek a tras pro uzly.
Microsoft.Compute/virtualMachines/read Vyžaduje se k vyhledání informací pro virtuální počítače ve virtuálních počítačích, jako jsou zóny, doména selhání, velikost a datové disky.
Microsoft.Compute/virtualMachines/write Vyžaduje se připojení AzureDisks k virtuálnímu počítači ve VMAS.
Microsoft.Compute/virtualMachineScaleSets/read
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read
Microsoft.Compute/virtualMachineScaleSets/virtualmachines/instanceView/read		 Vyžadováno k vyhledání informací pro virtuální počítače ve škálovací sadě virtuálních počítačů, jako jsou zóny, doména selhání, velikost a datové disky.
Microsoft.Network/networkInterfaces/write Vyžaduje se přidání virtuálního počítače do back-endového fondu adres nástroje pro vyrovnávání zatížení.
Microsoft.Compute/virtualMachineScaleSets/write Vyžaduje se přidání škálovací sady virtuálních počítačů do back-endových fondů adres nástroje pro vyrovnávání zatížení a horizontálního navýšení kapacity uzlů ve škálovací sadě virtuálních počítačů.
Microsoft.Compute/virtualMachineScaleSets/delete Vyžaduje se odstranění škálovací sady virtuálních počítačů na back-endové fondy adres nástroje pro vyrovnávání zatížení a škálování uzlů ve škálovací sadě virtuálních počítačů.
Microsoft.Compute/virtualMachineScaleSets/virtualmachines/write Vyžaduje se připojení AzureDisks a přidání virtuálního počítače ze škálovací sady virtuálních počítačů do nástroje pro vyrovnávání zatížení.
Microsoft.Network/networkInterfaces/read Vyžaduje se pro vyhledávání interních IP adres a back-endových fondů adres nástroje pro vyrovnávání zatížení virtuálních počítačů ve virtuálních počítačích.
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/networkInterfaces/read Vyžaduje se pro vyhledávání interních IP adres a back-endových fondů adres nástroje pro vyrovnávání zatížení virtuálního počítače ve škálovací sadě virtuálních počítačů.
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/networkInterfaces/ipconfigurations/publicipaddresses/read Vyžaduje se vyhledání veřejných IP adres pro virtuální počítač ve škálovací sadě virtuálních počítačů.
Microsoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/subnets/read		 Vyžaduje se k ověření, jestli existuje podsíť pro interní nástroj pro vyrovnávání zatížení v jiné skupině prostředků.
Microsoft.Compute/snapshots/delete
Microsoft.Compute/snapshots/read
Microsoft.Compute/snapshots/write		 Vyžaduje se ke konfiguraci snímků pro AzureDisk.
Microsoft.Compute/locations/vmSizes/read
Microsoft.Compute/locations/operations/read		 Vyžaduje se vyhledání velikostí virtuálních počítačů pro vyhledání limitů svazků AzureDisk.

Další oprávnění identit clusteru

Při vytváření clusteru s konkrétními atributy budete potřebovat následující další oprávnění pro identitu clusteru. Vzhledem k tomu, že tato oprávnění nejsou automaticky přiřazená, musíte je po vytvoření přidat do identity clusteru.

Oprávnění Důvod
Microsoft.Network/networkSecurityGroups/write
Microsoft.Network/networkSecurityGroups/read		 Vyžaduje se, pokud používáte skupinu zabezpečení sítě v jiné skupině prostředků. Vyžaduje se ke konfiguraci pravidel zabezpečení pro službu LoadBalancer.
Microsoft.Network/virtualNetworks/subnets/read
Microsoft.Network/virtualNetworks/subnets/join/action		 Vyžaduje se, pokud používáte podsíť v jiné skupině prostředků, například vlastní virtuální síť.
Microsoft.Network/routeTables/routes/read
Microsoft.Network/routeTables/routes/write		 Vyžaduje se, pokud používáte podsíť přidruženou ke směrovací tabulce v jiné skupině prostředků, například vlastní virtuální síť s vlastní směrovací tabulkou. Vyžaduje se k ověření, jestli podsíť již existuje pro podsíť v jiné skupině prostředků.
Microsoft.Network/virtualNetworks/subnets/read Vyžaduje se, pokud používáte interní nástroj pro vyrovnávání zatížení v jiné skupině prostředků. Vyžaduje se k ověření, jestli podsíť již existuje pro interní nástroj pro vyrovnávání zatížení ve skupině prostředků.
Microsoft.Network/privatednszones/* Vyžaduje se, pokud používáte privátní zónu DNS v jiné skupině prostředků, jako je vlastní privateDNSZone.

Přístup k uzlu AKS

Ve výchozím nastavení není pro AKS vyžadován přístup k uzlu. Pokud konkrétní komponenta využívá konkrétní komponentu, je potřeba pro uzel následující přístup.

Access Důvod
kubelet Vyžaduje se udělení přístupu MSI k ACR.
http app routing Vyžaduje se pro oprávnění k zápisu na "náhodný název".aksapp.io.
container insights Vyžadováno k udělení oprávnění k pracovnímu prostoru služby Log Analytics.

Souhrn

Podívejte se na tabulku s rychlým souhrnem toho, jak se uživatelé můžou ověřovat v Kubernetes, když je povolená integrace Azure AD. Ve všech případech je posloupnost příkazů uživatele následující:

  1. Spusťte az login ověření v Azure.

  2. Spusťte az aks get-credentials stažení přihlašovacích údajů pro cluster do .kube/config.

  3. Spusťte kubectl příkazy.

    • První příkaz může aktivovat ověřování na základě prohlížeče pro ověření v clusteru, jak je popsáno v následující tabulce.

V Azure Portal najdete:

  • Na kartě Access Control se zobrazí udělení role (udělení role Azure RBAC) uvedené ve druhém sloupci.
  • Skupina Správa Azure AD clusteru se zobrazí na kartě Konfigurace.
    • Zjistil se také název --aad-admin-group-object-ids parametru v Azure CLI.
Description Požadováno udělení role Skupiny správců clusteru Azure AD Kdy je použít
Starší přihlášení správce pomocí klientského certifikátu Role Správa Azure Kubernetes Tato role umožňuje az aks get-credentials používat s příznakem--admin, který stáhne starší (ne Azure AD) certifikát správce clusteru do uživatele .kube/config. Toto je jediný účel role Azure Kubernetes Správa. Není k dispozici Pokud jste trvale zablokovaní tím, že nemáte přístup k platné skupině Azure AD s přístupem ke clusteru.
Azure AD pomocí ručních vazeb rolí (clusteru) Role uživatele Azure Kubernetes Role Uživatel umožňuje az aks get-credentials používat bez příznaku --admin . (Toto je jediný účel role uživatele Azure Kubernetes.) Výsledkem je stažení prázdné položky.kube/configv clusteru s podporou Azure AD, který při prvním použití kubectlaktivuje ověřování na základě prohlížeče . Uživatel není v žádné z těchto skupin. Vzhledem k tomu, že uživatel není v žádném clusteru Správa skupinách, řídí se jejich práva zcela všemi sadami rolí nebo clusterroleBindingy, které nastavili správci clusteru. (Cluster)RoleBindings nominuje Azure AD uživatele nebo Azure AD skupiny jako jejich subjects. Pokud nebyly tyto vazby nastaveny, uživatel nebude moct vykřičit žádné kubectl příkazy. Pokud chcete jemně odstupňované řízení přístupu a nepoužíváte Azure RBAC pro autorizaci Kubernetes. Všimněte si, že uživatel, který nastaví vazby, se musí přihlásit pomocí jedné z dalších metod uvedených v této tabulce.
Azure AD podle člena skupiny pro správu Stejný jako výše uvedený Uživatel je členem jedné ze skupin uvedených tady. AKS automaticky vygeneruje clusterRoleBinding, který sváže všechny uvedené skupiny s cluster-admin rolí Kubernetes. Uživatelé v těchto skupinách tak můžou spouštět všechny kubectl příkazy jako cluster-admin. Pokud chcete uživatelům pohodlně udělit úplná práva správce a nepoužíváte Azure RBAC pro autorizaci Kubernetes.
Azure AD s využitím Azure RBAC pro autorizaci Kubernetes Dvě role:
Nejprve role uživatele Azure Kubernetes (jak je uvedeno výše).
Za druhé, jeden z "Azure Kubernetes Service RBAC..." výše uvedené role nebo vlastní alternativa.		 Pole Role správce na kartě Konfigurace není relevantní, pokud je povolená služba Azure RBAC pro autorizaci Kubernetes. K autorizaci Kubernetes používáte Azure RBAC. Tento přístup poskytuje jemně odstupňované řízení, aniž byste museli nastavit vazby rolí nebo clusterRoleBindings.

Další kroky

Další informace o základních konceptech Kubernetes a AKS najdete v následujících článcích: