Control del acceso mediante el identificador de Entra de Microsoft y RBAC de Kubernetes

Se aplica a: AKS en Azure Stack HCI 23H2

Puede configurar Azure Kubernetes Service (AKS) para usar microsoft Entra ID para la autenticación de usuario. En esta configuración, inicie sesión en un clúster de Kubernetes mediante un token de autenticación de Microsoft Entra. Una vez autenticado, puede usar el control de acceso basado en rol de Kubernetes integrado (RBAC de Kubernetes) para administrar el acceso a los espacios de nombres y los recursos del clúster en función de la identidad o la pertenencia a grupos de un usuario.

En este artículo se describe cómo controlar el acceso mediante RBAC de Kubernetes en un clúster de Kubernetes basado en la pertenencia a grupos de Microsoft Entra en AKS. Cree un grupo de demostración y usuarios en el identificador de Entra de Microsoft. A continuación, creará roles y enlaces de rol en el clúster para conceder los permisos adecuados para crear y ver los recursos.

Requisitos previos

Antes de configurar RBAC de Kubernetes mediante el identificador de Entra de Microsoft, debe tener los siguientes requisitos previos:

• Un clúster de AKS habilitado por el clúster de Azure Arc. Si necesita configurar el clúster, consulte las instrucciones para usar Azure Portal o la CLI de Azure.

• Necesita la CLI de Azure instalada y configurada. Si necesita instalarla o actualizarla, vea Instalación de la CLI de Azure.

• Instale la versión más reciente de las extensiones de la aksarc CLI de Azure y connectedk8s :

  az extension add --name aksarc
  az extension add --name connectedk8s
  

  Si ya instaló la aksarc extensión, actualice la extensión a la versión más reciente:

  az extension update --name aksarc
  az extension update --name connectedk8s
  

• Kubectl. La herramienta de línea de comandos de Kubernetes, kubectl, le permite ejecutar comandos destinados a los clústeres de Kubernetes. Para comprobar si instaló kubectl, abra un símbolo del sistema y escriba kubectl version --client. Asegúrese de que la versión del cliente kubectl sea al menos v1.24.0. Para obtener instrucciones de instalación, consulte kubectl.

Primeros pasos opcionales

Si aún no tiene un grupo de Microsoft Entra que contenga miembros, es posible que quiera crear un grupo y agregar algunos miembros para que pueda seguir las instrucciones de este artículo.

Para demostrar cómo trabajar con RBAC de Microsoft Entra y Kubernetes, puede crear un grupo de Microsoft Entra para desarrolladores de aplicaciones que se pueden usar para mostrar cómo RBAC de Kubernetes y el id. de Microsoft Entra controlan el acceso a los recursos del clúster. En entornos de producción, puede usar usuarios y grupos existentes dentro de un inquilino de Microsoft Entra.

Creación de un grupo de demostración en el identificador de Microsoft Entra

En primer lugar, cree el grupo en microsoft Entra ID en el inquilino para los desarrolladores de aplicaciones mediante el az ad group create comando . En el ejemplo siguiente se le pide que inicie sesión en el inquilino de Azure y, a continuación, cree un grupo denominado appdev:

az login
az ad group create --display-name appdev --mail-nickname appdev

Agregar usuarios al grupo

Con el grupo de ejemplo creado en microsoft Entra ID para desarrolladores de aplicaciones, agregue un usuario al appdev grupo. Use esta cuenta de usuario para iniciar sesión en el clúster de AKS y probar la integración de RBAC de Kubernetes.

Agregue un usuario al grupo appdev creado en la sección anterior mediante el az ad group member add comando . Si abandona la sesión, vuelva a conectarse a Azure mediante az login.

$AKSDEV_ID = az ad user create --display-name <name> --password <strongpassword> --user-principal-name <name>@contoso.onmicrosoft.com
az ad group member add --group appdev --member-id $AKSDEV_ID

Creación de un enlace de rol RBAC de Kubernetes personalizado en el recurso de clúster de AKS para el grupo Microsoft Entra

Configure el clúster de AKS para permitir que el grupo de Microsoft Entra acceda al clúster. Si desea agregar un grupo y usuarios, consulte Crear grupos de demostración en Microsoft Entra ID.

1. Use el az aksarc get-credentials comando para obtener las credenciales de administrador del clúster:

   az aksarc get-credentials --name "sample-aksarccluster" --resource-group "sample-rg" --admin
   

2. Cree un espacio de nombres en el clúster de Kubernetes mediante el kubectl create namespace comando . En el ejemplo siguiente se crea un espacio de nombres denominado dev:

   kubectl create namespace dev
   

En Kubernetes, los roles definen los permisos que conceder los enlaces de roles aplican los permisos a los usuarios o grupos deseados. Estas asignaciones se pueden aplicar a un espacio de nombres determinado o a todo un clúster. Para obtener más información, consulte Uso de la autorización de RBAC Kubernetes.

Cree un rol para el espacio de nombres de desarrollo . Este rol concede permisos completos al espacio de nombres. En entornos de producción, es posible que quiera especificar permisos más granulares para distintos usuarios o grupos.

1. Cree un archivo denominado role-dev-namespace.yaml y copie o pegue el siguiente manifiesto YAML:

   kind: Role
   apiVersion: rbac.authorization.k8s.io/v1
   metadata:
     name: dev-user-full-access
     namespace: dev
   rules:
   - apiGroups: ["", "extensions", "apps"]
     resources: ["*"]
     verbs: ["*"]
   - apiGroups: ["batch"]
     resources:
     - jobs
     - cronjobs
     verbs: ["*"]
   

2. Cree el rol con el kubectl apply comando y especifique el nombre de archivo del manifiesto YAML:

   kubectl apply -f role-dev-namespace.yaml
   

3. Obtenga el Id. de recurso para el grupo appdev mediante el comando az ad group show. Este grupo se establece como el asunto de un RoleBinding en el paso siguiente:

   az ad group show --group appdev --query objectId -o tsv
   

   El az ad group show comando devuelve el valor que se usa como groupObjectId:

   38E5FA30-XXXX-4895-9A00-050712E3673A
   

4. Cree un archivo denominado rolebinding-dev-namespace.yaml y copie o pegue el siguiente manifiesto YAML. Establezca el enlace de roles que permite al grupo appdev usar el rol para el role-dev-namespace acceso al espacio de nombres. En la última línea, reemplace groupObjectId por la salida del id. de objeto de grupo producido por el comando az ad group show:

   kind: RoleBinding
   apiVersion: rbac.authorization.k8s.io/v1
   metadata:
     name: dev-user-access
     namespace: dev
   roleRef:
     apiGroup: rbac.authorization.k8s.io
     kind: Role
     name: dev-user-full-access
   subjects:
   - kind: Group
     namespace: dev
     name: groupObjectId
   

   Sugerencia

   Si desea crear RoleBinding para un solo usuario, especifique kind: User y reemplace groupObjectId por el nombre principal de usuario (UPN) en el ejemplo.

5. Cree roleBinding con el kubectl apply comando y especifique el nombre de archivo del manifiesto YAML:

   kubectl apply -f rolebinding-dev-namespace.yaml
   

   rolebinding.rbac.authorization.k8s.io/dev-user-access created
   

Uso de roles RBAC de Kubernetes integrados para el recurso de clúster de AKS

Kubernetes también proporciona roles integrados orientados al usuario. Estos roles integrados incluyen:

• Roles de superusuario (administrador de clústeres)
• Roles destinados a concederse en todo el clúster mediante ClusterRoleBindings
• Roles destinados a concederse dentro de espacios de nombres concretos mediante RoleBindings (administrar, editar, visualizar)

Para más información sobre los roles RBAC de Kubernetes integrados, consulte Roles orientados al usuario de RBAC de Kubernetes.

Roles orientados al usuario

Default ClusterRole	Default ClusterRoleBinding	Descripción
cluster-admin	system:masters group	Permite el acceso de superusuario para realizar cualquier acción en cualquier recurso. Cuando se usa en ClusterRoleBinding, este rol proporciona control total sobre todos los recursos del clúster y en todos los espacios de nombres. Cuando se usa en un RoleBinding, proporciona control total sobre cada recurso del espacio de nombres del enlace de roles, incluido el propio espacio de nombres.
Administración	None	Permite el acceso de administrador, destinado a concederse dentro de un espacio de nombres mediante un enlace de roles. Si se usa en un enlace de roles, permite el acceso de lectura y escritura a la mayoría de los recursos de un espacio de nombres, incluida la capacidad de crear roles y enlaces de roles dentro del espacio de nombres. Este rol no permite el acceso de escritura a la cuota de recursos o al espacio de nombres en sí. Este rol tampoco permite el acceso de escritura a los puntos de conexión de los clústeres creados con Kubernetes v1.22 y versiones posteriores. Para obtener más información, consulte Acceso de escritura para puntos de conexión.
edit	None	Permite el acceso de lectura y escritura para ver la mayoría de los objetos en un espacio de nombres. Este rol no permite la visualización o modificación de roles o enlaces de roles. Sin embargo, este rol permite acceder a secretos y ejecutar pods como cualquier ServiceAccount en el espacio de nombres, por lo que se puede usar para obtener los niveles de acceso de API de cualquier ServiceAccount en el espacio de nombres. Este rol tampoco permite el acceso de escritura a los puntos de conexión de los clústeres creados con Kubernetes v1.22 y versiones posteriores. Para obtener más información, consulte Acceso de escritura para puntos de conexión.
ver	None	Permite el acceso de solo lectura para ver la mayoría de los objetos en un espacio de nombres. No permite la visualización de roles o enlaces de roles. Este rol no permite ver secretos, ya que leer el contenido de los secretos permite el acceso a las credenciales de ServiceAccount en el espacio de nombres, lo que permitiría el acceso a la API como cualquier ServiceAccount en el espacio de nombres (una forma de escalación de privilegios).

Uso de un rol RBAC de Kubernetes integrado con el identificador entra de Microsoft

Para usar un rol RBAC de Kubernetes integrado con el identificador entra de Microsoft, siga estos pasos:

1. Aplique el rol RBAC de Kubernetes integrado view al grupo de Microsoft Entra:

   kubectl create clusterrolebinding <name of your cluster role binding> --clusterrole=view --group=<Azure AD group object ID>
   

2. Aplique el rol RBAC de Kubernetes integrado view a cada uno de los usuarios de Microsoft Entra:

   kubectl create clusterrolebinding <name of your cluster role binding> --clusterrole=view --user=<Azure AD user object ID>
   

Trabajar con recursos de clúster mediante identidades de Microsoft Entra

Ahora, pruebe los permisos esperados al crear y administrar recursos en un clúster de Kubernetes. En estos ejemplos, programe y vea los pods en el espacio de nombres asignados del usuario. A continuación, intente programar y ver pods fuera del espacio de nombres asignado.

1. Inicie sesión en Azure con la $AKSDEV_ID cuenta de usuario que ha pasado como entrada al az ad group member add comando. Ejecute el az connectedk8s proxy comando para abrir un canal en el clúster:

   az connectedk8s proxy --name "sample-aksarccluster" --resource-group "sample-rg"
   

2. Una vez establecido el canal de proxy, abra otra sesión y programe un pod NGINX mediante el kubectl run comando en el espacio de nombres de desarrollo :

   kubectl run nginx-dev --image=mcr.microsoft.com/oss/nginx/nginx:1.15.5-alpine --namespace dev
   

   Cuando NGINX está programado correctamente, verá la siguiente salida:

   pod/nginx-dev created
   

3. Ahora, use el kubectl get pods comando para ver pods en el dev espacio de nombres:

   kubectl get pods --namespace dev
   

   Cuando NGINX se está ejecutando correctamente, debería ver la siguiente salida:

   NAME        READY   STATUS    RESTARTS   AGE
   nginx-dev   1/1     Running   0          4m
   

Creación y visualización de recursos de clúster fuera del espacio de nombres asignado

Para intentar ver pods fuera del espacio de nombres de desarrollo , use el kubectl get pods comando con la --all-namespaces marca :

kubectl get pods --all-namespaces

La pertenencia a grupos del usuario no tiene un rol de Kubernetes que permita esta acción. Sin el permiso, el comando genera un error:

Error from server (Forbidden): pods is forbidden: User cannot list resource "pods" in API group "" at the cluster scope

Pasos siguientes

• Control de acceso basado en roles de Azure (Azure RBAC)