Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Řízení přístupu na základě role v Azure (Azure RBAC) je autorizační systém založený na Azure Resource Manageru, který poskytuje jemně odstupňovanou správu přístupu k prostředkům Azure.
Tento článek obsahuje přehled různých předdefinovaných rolí Azure RBAC, které můžete použít pro přístup k prostředkům Azure Kubernetes Fleet Manageru (Kubernetes Fleet).
Řídicí rovina
Tato role uděluje přístup k prostředkům a podsourcům flotily Azure Resource Manageru (ARM) a je použitelná jak k prostředkům flotily Kubernetes, tak bez clusteru centra.
| Název role | Popis | Použití |
|---|---|---|
| Přispěvatel Azure Kubernetes Fleet Manageru | Tato role uděluje přístup ke čtení a zápisu k prostředkům Azure, které poskytuje Azure Kubernetes Fleet Manager, včetně flotil, členů vozového parku, strategií aktualizací vozového parku, spuštění aktualizací vozového parku a dalších. | Tuto roli můžete použít k udělení oprávnění přispěvatele, která se vztahují výhradně na prostředky a podsourcy Kubernetes Fleet. Tuto roli může například udělit správce Azure, který má za úkol definovat a udržovat prostředky flotily. |
| Role uživatele clusteru Azure Kubernetes Fleet Manager Hub | Tato role uděluje přístup ke clusteru centra Fleet Manageru jen pro čtení a konfiguračnímu souboru Kubernetes pro připojení ke clusteru spravovaného centra flotily. | Můžete zobrazit prostředky Fleet Manageru a stáhnout kubeconfig clusteru centra, abyste zkontrolovali konfigurace a úlohy bez jakýchkoli změn. |
Rovina dat
Tyto role udělují přístup k objektům Kubernetes centra Fleet, a proto se vztahují pouze na prostředky Kubernetes Fleet s clusterem centra.
Role roviny dat můžete přiřadit v oboru clusteru Fleet Hub nebo v individuálním oboru názvů Kubernetes připojením /namespace/<namespace> k oboru přiřazení role.
| Název role | Popis | Použití |
|---|---|---|
| Čtenář RBAC v Azure Kubernetes Fleet Manageru | Uděluje přístup jen pro čtení k většině prostředků Kubernetes v rámci oboru názvů v clusteru centra spravovaného vozovým parkem. Nepovoluje zobrazování rolí nebo vazeb rolí. Tato role neumožňuje zobrazování tajných kódů, protože čtení obsahu tajných kódů umožňuje přístup k ServiceAccount přihlašovacím údajům v oboru názvů, což by umožnilo přístup rozhraní API jako jakýkoliv ServiceAccount v oboru názvů (forma eskalace oprávnění). Použití této role v oboru clusteru poskytuje přístup napříč všemi obory názvů. |
Tuto roli můžete použít k udělení možnosti čtení vybraných nesmyslných objektů Kubernetes v oboru názvů nebo oboru clusteru. Tuto roli můžete například udělit pro účely kontroly. |
| Azure Kubernetes Fleet Manager – zapisovač RBAC | Uděluje přístup ke čtení a zápisu většině prostředků Kubernetes v rámci oboru názvů v clusteru centra spravovaného vozovým parkem. Tato role neumožňuje zobrazení nebo úpravy rolí nebo vazeb rolí. Tato role ale umožňuje přístup k tajným kódům jako všem ServiceAccount v oboru názvů, takže ho můžete použít k získání úrovní přístupu rozhraní API libovolného ServiceAccount v oboru názvů. Použití této role v oboru clusteru poskytuje přístup napříč všemi obory názvů. |
Pomocí této role můžete udělit možnost psát vybrané objekty Kubernetes v oboru názvů nebo v oboru clusteru. Například pro použití projektovým týmem zodpovědným za objekty v daném oboru názvů. |
| Administrátor RBAC pro Azure Kubernetes Fleet Manager | Uděluje přístup pro čtení a zápis k prostředkům Kubernetes v rámci oboru názvů v clusteru centra spravovaného vozovým parkem. Poskytuje oprávnění k zápisu u většiny objektů v rámci oboru názvů s výjimkou ResourceQuota objektu a samotného objektu oboru názvů. Použití této role v oboru clusteru poskytuje přístup napříč všemi obory názvů. |
Pomocí této role můžete udělit možnost spravovat vybrané objekty Kubernetes (včetně rolí a vazeb rolí) v oboru názvů nebo v oboru clusteru. Například pro použití projektovým týmem zodpovědným za objekty v daném oboru názvů. |
| Správce clusteru RBAC v Azure Kubernetes Fleet Manageru | Uděluje přístup pro čtení a zápis ke všem prostředkům Kubernetes v clusteru centra spravovaného vozovým parkem. | Tuto roli můžete použít k udělení přístupu ke všem objektům Kubernetes (včetně CRD) v oboru názvů nebo oboru clusteru. |
| Čtenář RBAC pro členské clustery v Azure Kubernetes Fleet Manageru | Přístup jen pro čtení k většině objektů v jmenném prostoru na členském clusteru. Nelze zobrazit role ani vazby rolí. Nelze zobrazit Secrets (brání navýšení oprávnění prostřednictvím přihlašovacích údajů ServiceAccount). | Pomocí této role můžete udělit možnost číst vybrané nesmyslné objekty Kubernetes v oboru názvů členů flotily. |
| Azure Kubernetes Fleet Manager – zapisovač RBAC pro členské clustery | Čtení a zápis do většiny prostředků Kubernetes v prostoru jmen. Nelze zobrazit nebo upravit role nebo vazby rolí. Může číst tajné kódy (proto může předpokládat jakýkoli účet ServiceAccount v oboru názvů). | Pomocí této role můžete udělit možnost psát vybrané objekty Kubernetes v rámci jmenného prostoru na člena floty. Například pro použití projektovým týmem zodpovědným za objekty v daném oboru názvů. |
| Správce RBAC pro členské clustery Azure Kubernetes Fleet Manager | Čtení a zápis do prostředků Kubernetes v jmenném prostoru v členském clusteru. | Pomocí této role můžete udělit oprávnění ke správě vybraných objektů Kubernetes (včetně rolí a vazeb rolí) v rozsahu jmenného prostoru u členů clusteru. Například pro použití projektovým týmem zodpovědným za objekty v daném oboru názvů. |
| Správce clusteru RBAC pro členské clustery v Azure Kubernetes Fleet Manager | Úplný přístup pro čtení a zápis ke všem prostředkům Kubernetes na členských clusterech ve flotile. | Tuto roli použijete k udělení úplného přístupu ke všem prostředkům v členských clusterech. Například správce platformy, který potřebuje přístup k více namespacech v členských clusterech. |
Příklad přiřazení rolí
Role Azure RBAC můžete udělit pomocí Azure CLI. Pokud například chcete vytvořit přiřazení role v oboru clusteru Centra flotily Kubernetes:
IDENTITY=$(az ad signed-in-user show --output tsv --query id)
FLEET_ID=$(az fleet show --resource-group $GROUP --name $FLEET --output tsv --query id)
az role assignment create --role 'Azure Kubernetes Fleet Manager RBAC Reader' --assignee "$IDENTITY" --scope "$FLEET_ID"
Přiřazení rolí můžete také vymezit na jednotlivé obory názvů Kubernetes. Pokud chcete například vytvořit přiřazení role pro výchozí obor názvů Kubernetes Fleet Hubu Kubernetes:
IDENTITY=$(az ad signed-in-user show --output tsv --query id)
FLEET_ID=$(az fleet show --resource-group $GROUP --name $FLEET --output tsv --query id)
az role assignment create --role 'Azure Kubernetes Fleet Manager RBAC Reader' --assignee "$IDENTITY" --scope "$FLEET_ID/namespaces/default"
Spolupracujte s námi na GitHubu
Zdroj tohoto obsahu najdete na GitHubu, kde můžete také vytvářet a kontrolovat problémy a žádosti o přijetí změn. Další informace najdete v našem průvodci pro přispěvatele.
Azure Kubernetes Service