Control del acceso mediante el identificador de Entra de Microsoft y RBAC de Kubernetes

Se aplica a: AKS en Azure Local

Puede configurar Azure Kubernetes Service (AKS) para usar microsoft Entra ID para la autenticación de usuario. En esta configuración, usted inicia sesión en un clúster de Kubernetes usando un token de autenticación de Microsoft Entra. Una vez autenticado, puede usar el control de acceso basado en rol de Kubernetes integrado (RBAC de Kubernetes) para administrar el acceso a los espacios de nombres y los recursos del clúster en función de la identidad o la pertenencia a grupos de un usuario.

En este artículo se describe cómo controlar el acceso mediante RBAC de Kubernetes en un clúster de Kubernetes basado en la pertenencia a grupos de Microsoft Entra en AKS. Usted crea un grupo demo y usuarios en Microsoft Entra ID. Luego, se crean roles y enlaces de rol en el clúster para otorgar los permisos adecuados para crear y ver recursos.

Prerrequisitos

Antes de configurar RBAC de Kubernetes mediante el identificador de Entra de Microsoft, debe tener los siguientes requisitos previos:

• Un clúster de AKS habilitado por el clúster de Azure Arc. Si necesita configurar el clúster, consulte las instrucciones para usar Azure Portal o la CLI de Azure.
• CLI de Azure instalada y configurada. Si necesita instalar la CLI o actualizar, consulte Instalación de la CLI de Azure.
• La CLI de Azure y la extensión connectedk8s. La interfaz de la línea de comandos de Azure (CLI de Azure) es un conjunto de comandos que se usa para crear y administrar recursos de Azure. Para comprobar si tiene CLI de Azure, abra una línea de comandos y escriba: az -v. También debe instalar la extensión connectedk8s para establecer un canal con su clúster de Kubernetes. Para obtener instrucciones de instalación, consulte Instalación de la CLI de Azure.
• Kubectl. La herramienta de línea de comandos de Kubernetes, kubectl, le permite ejecutar comandos que tienen como destino los clústeres de Kubernetes. Para comprobar si ha instalado kubectl, abra una herramienta de línea de comandos y escriba: kubectl version --client. Asegúrese de que la versión del cliente kubectl sea al menos v1.24.0. Para conocer las instrucciones de instalación, vea kubectl.
• Puede acceder al clúster de Kubernetes con los permisos especificados con el modo directo o el modo proxy.
  • Para acceder al clúster de Kubernetes directamente mediante el az aksarc get-credentials comando , necesita los permisos de usuario del rol de usuario del clúster de Azure Kubernetes Service Arc de Microsoft.HybridContainerService/provisionedClusterInstances/listUserKubeconfig/action, que se incluye en los permisos de rol de usuario de clúster de Azure Kubernetes Service Arc .
  • Para acceder al clúster de Kubernetes desde cualquier ubicación en modo proxy usando el comando az connectedk8s proxy, necesita el permiso Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action, incluido en el rol de usuario del clúster de Kubernetes habilitado para Azure Arc. Además, verifique que los agentes y la máquina desde la que ejecuta el proceso de incorporación cumplan con los requisitos de red en requisitos de red de Kubernetes habilitado para Azure Arc.

Nota:

Al usar kubelogin versión 2.0 o posterior con la autenticación de Microsoft Entra y RBAC de Kubernetes en AKS en Azure Local, es posible que encuentre solicitudes de autenticación de Entra para cada comando que ejecute. Para obtener una solución a este problema conocido, consulte Solicitudes de autenticación de Entra repetidas al ejecutar kubectl con RBAC de Kubernetes.

Primeros pasos opcionales

Si aún no tiene un grupo de Microsoft Entra que contenga miembros, puede crear un grupo y agregar algunos miembros para seguir las instrucciones de este artículo.

Para demostrar el funcionamiento de Microsoft Entra ID con Kubernetes RBAC, puede crear un grupo de Microsoft Entra para desarrolladores de aplicaciones, y usarlo para mostrar cómo Microsoft Entra ID y Kubernetes RBAC controlan el acceso a los recursos del clúster. En entornos de producción, puede usar usuarios y grupos existentes dentro de un inquilino de Microsoft Entra.

Crear un grupo de demostración en Microsoft Entra ID

Primero, cree el grupo en Microsoft Entra ID dentro de su inquilino para los desarrolladores de aplicaciones usando el comando az ad group create. En el ejemplo siguiente se le pide que inicie sesión en el inquilino de Azure y, a continuación, cree un grupo denominado appdev:

az login
az ad group create --display-name appdev --mail-nickname appdev

Agregar usuarios al grupo

Una vez creado el grupo de ejemplo en Microsoft Entra ID para desarrolladores de aplicaciones, agregue un usuario al grupo appdev. Usará esta cuenta de usuario para iniciar sesión en el clúster de AKS y probar la integración con Kubernetes RBAC.

Agregue un usuario al grupo appdev creado en la sección anterior utilizando el comando az ad group member add. Si cerró su sesión, vuelva a conectarse a Azure usando az login.

$AKSDEV_ID = az ad user create --display-name <name> --password <strongpassword> --user-principal-name <name>@contoso.onmicrosoft.com
az ad group member add --group appdev --member-id $AKSDEV_ID

Crear una asignación personalizada de rol RBAC de Kubernetes en el recurso del clúster de AKS para el grupo de Microsoft Entra

Configure el clúster de AKS para permitir que su grupo de Microsoft Entra acceda al clúster. Si desea agregar un grupo y usuarios, consulte Crear grupos de demostración en Microsoft Entra ID.

1. Use el az aksarc get-credentials comando para obtener las credenciales de administrador del clúster:

   az aksarc get-credentials --name "$aks_cluster_name" --resource-group "$resource_group_name" --admin
   

2. Cree un espacio de nombres en el clúster de Kubernetes mediante el comando kubectl create namespace. En el ejemplo siguiente se crea un espacio de nombres denominado dev:

   kubectl create namespace dev
   

En Kubernetes, los roles definen los permisos que conceder los enlaces de roles aplican los permisos a los usuarios o grupos deseados. Estas asignaciones se pueden aplicar a un espacio de nombres especificado o a todo el clúster. Para obtener más información, consulte Uso de la autorización de RBAC de Kubernetes.

Cree un rol para el espacio de nombres dev. Este rol concede permisos completos al espacio de nombres. En entornos de producción, tal vez desee especificar permisos más granulares para diferentes usuarios o grupos.

1. Cree un archivo llamado role-dev-namespace.yaml y copie/pegue el siguiente manifiesto de YAML:

   kind: Role
   apiVersion: rbac.authorization.k8s.io/v1
   metadata:
     name: dev-user-full-access
     namespace: dev
   rules:
   - apiGroups: ["", "extensions", "apps"]
     resources: ["*"]
     verbs: ["*"]
   - apiGroups: ["batch"]
     resources:
     - jobs
     - cronjobs
     verbs: ["*"]
   

2. Cree el rol mediante el comando kubectl apply y especifique el nombre de archivo del manifiesto de YAML:

   kubectl apply -f role-dev-namespace.yaml
   

3. Obtenga el Id. de recurso para el grupo appdev mediante el comando az ad group show. Este grupo se establece como el sujeto de un enlace de rol en el paso siguiente:

   az ad group show --group appdev --query objectId -o tsv
   

   El az ad group show comando devuelve el valor que se usa como groupObjectId:

   38E5FA30-XXXX-4895-9A00-050712E3673A
   

4. Cree un archivo llamado rolebinding-dev-namespace.yaml y copie/pegue el siguiente manifiesto de YAML. Aquí establecerá el enlace de rol que permite al grupo appdev usar el rol role-dev-namespace para acceder al espacio de nombres. En la última línea, reemplace groupObjectId por la salida del id. de objeto de grupo producido por el comando az ad group show:

   kind: RoleBinding
   apiVersion: rbac.authorization.k8s.io/v1
   metadata:
     name: dev-user-access
     namespace: dev
   roleRef:
     apiGroup: rbac.authorization.k8s.io
     kind: Role
     name: dev-user-full-access
   subjects:
   - kind: Group
     namespace: dev
     name: groupObjectId
   

   Sugerencia

   Si desea crear RoleBinding para un solo usuario, especifique kind: User y reemplace groupObjectId por el nombre principal de usuario (UPN) en el ejemplo.

5. Cree el elemento RoleBinding mediante el comando kubectl apply y especifique el nombre de archivo del manifiesto de YAML:

   kubectl apply -f rolebinding-dev-namespace.yaml
   

   rolebinding.rbac.authorization.k8s.io/dev-user-access created
   

Uso de roles RBAC de Kubernetes integrados para el recurso de clúster de AKS

Kubernetes también proporciona roles integrados orientados al usuario. Estos roles integrados incluyen:

• Roles de superusuario (administrador de clústeres)
• Roles destinados a concederse en todo el clúster mediante ClusterRoleBindings
• Roles destinados a concederse dentro de espacios de nombres concretos mediante RoleBindings (administrar, editar, visualizar)

Para obtener más información sobre los roles integrados de Kubernetes RBAC, consulte Roles orientados al usuario en Kubernetes RBAC.

Roles orientados al usuario

Default ClusterRole	Default ClusterRoleBinding	Descripción
administrador-del-clúster	system:masters group	Permite acceso de superusuario para realizar cualquier acción sobre cualquier recurso. Cuando se usa en un ClusterRoleBinding, este rol otorga control total sobre todos los recursos del clúster y de todos los espacios de nombres. Cuando se usa en un RoleBinding, proporciona control total sobre cada recurso del espacio de nombres del enlace de roles, incluido el propio espacio de nombres.
administrador	Ninguno	Permite acceso administrativo, diseñado para asignarse dentro de un espacio de nombres mediante un enlace de rol. Si se usa en un enlace de rol, permite acceso de lectura/escritura a la mayoría de los recursos dentro del espacio de nombres, incluida la capacidad de crear roles y enlaces de rol. Este rol no permite el acceso de escritura a la cuota de recursos o al espacio de nombres en sí. Este rol tampoco permite el acceso de escritura a los puntos de conexión en clústeres creados con Kubernetes v1.22 y versiones posteriores. Para obtener más información, consulte Acceso de escritura a puntos de conexión.
edición	Ninguno	Permite el acceso de lectura y escritura para ver la mayoría de los objetos en un espacio de nombres. Este rol no permite la visualización o modificación de roles o enlaces de roles. Sin embargo, este rol permite acceder a secretos y ejecutar pods como cualquier ServiceAccount en el espacio de nombres, por lo que se puede usar para obtener los niveles de acceso de la API de cualquier ServiceAccount en el espacio de nombres. Este rol tampoco permite el acceso de escritura a los puntos de conexión en clústeres creados con Kubernetes v1.22 y versiones posteriores. Para obtener más información, consulte Acceso de escritura a puntos de conexión.
ver	Ninguno	Permite el acceso de solo lectura para ver la mayoría de los objetos en un espacio de nombres. No permite la visualización de roles o enlaces de roles. Este rol no permite visualización de secretos, ya que leer el contenido de estos permite el acceso a las credenciales de ServiceAccount en el espacio de nombres, que permitiría el acceso a la API como cualquier ServiceAccount en el espacio de nombres (una forma de elevación de privilegios).

Uso de un rol integrado de Kubernetes RBAC con Microsoft Entra ID

Para usar un rol RBAC integrado de Kubernetes con Microsoft Entra ID, siga estos pasos:

1. Aplique el rol RBAC integrado de Kubernetes view a su grupo de Microsoft Entra:

   kubectl create clusterrolebinding <name of your cluster role binding> --clusterrole=view --group=<Azure AD group object ID>
   

2. Aplique el rol RBAC integrado de Kubernetes view a cada uno de sus usuarios de Microsoft Entra:

   kubectl create clusterrolebinding <name of your cluster role binding> --clusterrole=view --user=<Azure AD user object ID>
   

Acceso al clúster de Kubernetes

Ahora puede acceder al clúster de Kubernetes con los permisos especificados mediante el modo directo o el modo proxy.

Acceso al clúster con kubectl (modo directo)

Para acceder al clúster de Kubernetes con los permisos especificados, el operador de Kubernetes necesita el Microsoft Entra kubeconfig, que puede obtener mediante el comando az aksarc get-credentials. Este comando proporciona acceso al kubeconfig basado en el administrador, así como a kubeconfig basado en el usuario. El archivo kubeconfig basado en el administrador contiene secretos y debe almacenarse y rotarse de forma segura periódicamente. Por otro lado, el identificador kubeconfig de Microsoft Entra basado en el usuario no contiene secretos y se puede distribuir a los usuarios que se conectan desde sus máquinas cliente.

Para ejecutar este comando de Azure CLI, necesita la acción Microsoft.HybridContainerService/provisionedClusterInstances/listUserKubeconfig/action, que está incluida en los permisos del rol Azure Kubernetes Service Arc Cluster User.

az aksarc get-credentials -g $resource_group_name -n $aks_cluster_name --file <file-name>

Ahora, puede usar kubectl para administrar el clúster. Por ejemplo, puede hacer una lista de los nodos de su clúster con kubectl get nodes. La primera vez que lo ejecute, debe iniciar sesión, como se muestra en el ejemplo siguiente:

kubectl get nodes

Acceso al clúster desde un dispositivo cliente (modo proxy)

Para acceder al clúster de Kubernetes desde cualquier ubicación en modo proxy usando el comando az connectedk8s proxy, necesita el permiso Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action, incluido en el rol de usuario del clúster de Kubernetes habilitado para Azure Arc.

Ejecute los pasos siguientes en otro dispositivo cliente:

1. Inicie sesión con la autenticación de Microsoft Entra.

2. Obtenga la conexión kubeconfig del clúster necesaria para comunicarse con el clúster desde cualquier lugar (incluso fuera del firewall que rodea al clúster):

   az connectedk8s proxy -n $aks_cluster_name -g $resource_group_name
   

   Nota:

   Este comando abre el proxy y bloquea el shell actual.

3. En otra sesión de shell, use kubectl para enviar solicitudes al clúster:

   kubectl get pods -A
   

Ahora debería mostrarse una respuesta del clúster que contiene la lista de todos los pods en el espacio de nombres default.

Para más información, consulte Acceso al clúster desde un dispositivo cliente.

Creación y visualización de los recursos de clúster fuera del espacio de nombres asignado

Para intentar ver pods fuera del espacio de nombres dev, utilice el comando kubectl get pods con el indicador --all-namespaces:

kubectl get pods --all-namespaces

La pertenencia a grupos del usuario no tiene un rol de Kubernetes que permita esta acción. Sin ese permiso, el comando genera un error:

Error from server (Forbidden): pods is forbidden: User cannot list resource "pods" in API group "" at the cluster scope

Pasos siguientes

• Control de acceso basado en rol de Azure (RBAC de Azure)