Consideraciones sobre la administración de identidad y acceso para Red Hat OpenShift en Azure

  • Artículo

La administración de identidad y acceso es una parte clave de la configuración de seguridad de una organización cuando implementa el acelerador de zonas de aterrizaje de Red Hat OpenShift en Azure. La administración de identidad y acceso incluye áreas como las identidades de clústeres, las identidades de cargas de trabajo y el acceso de operadores.

Use estas consideraciones y recomendaciones de diseño para crear un plan de administración de identidad y acceso que cumpla los requisitos de su organización en la implementación de Red Hat OpenShift en Azure.

Consideraciones de diseño

  • Decida cómo crear y administrar la entidad de servicio y los permisos que debe tener para la identidad del clúster de Red Hat OpenShift en Azure:
    • Crear una entidad de servicio y asignar los permisos manualmente.
    • Crear la entidad de servicio automáticamente y asignar los permisos al crear el clúster.
  • Decida cómo autenticar el acceso al clúster:
  • Decida si va a tener un clúster multiinquilino y cómo se va a configurar el control de acceso basado en roles (RBAC) en el clúster de Red Hat OpenShift en Azure.
    • Decida un método para usarlo para el aislamiento: proyectos de Red Hat OpenShift, directiva de red o clúster.
    • Decida los proyectos de OpenShift, roles de proyecto, roles de clúster y asignación de proceso por equipo de aplicación para el aislamiento.
    • Decida si los equipos de aplicación pueden leer otros proyectos de OpenShift en el clúster.
  • Decida los roles de Azure RBAC personalizados para la zona de aterrizaje de Red Hat OpenShift en Azure.
    • Decida qué permisos se necesitan para que el rol de ingeniería de fiabilidad del sitio (SRE) administre todo el clúster y solucione los problemas que puedan surgir.
    • Decida qué permisos son necesarios para las operaciones de seguridad (SecOps).
    • Decida qué permisos necesita el propietario de la zona de aterrizaje.
    • Decida qué permisos necesitan los equipos de aplicación para poder implementar en el clúster.
  • Decida cómo almacenar los secretos e información confidencial en el clúster. Puede almacenar los secretos e información confidencial como secretos de Kubernetes codificados en Base64 o usar un proveedor de almacén de secretos, como el proveedor de Azure Key Vault para el controlador CSI de Secrets Store.

Recomendaciones de diseño

  • Identidades de clúster
    • Cree una entidad de servicio y defina los roles de Azure RBAC personalizados para la zona de aterrizaje de Red Hat OpenShift en Azure. Los roles simplifican la administración de permisos para la entidad de servicio del clúster de Red Hat OpenShift en Azure.
  • Acceso al clúster
    • Configure integración de Microsoft Entra para usar Microsoft Entra ID para autenticar a los usuarios en el clúster de Red Hat OpenShift de Azure.
    • Defina los proyectos de OpenShift para restringir el privilegio de RBAC y aislar las cargas de trabajo en el clúster.
    • Defina los roles de RBAC necesarios en OpenShift que tienen como ámbito un proyecto local o un clúster.
    • Use Red Hat OpenShift en Azure para crear enlaces de roles vinculados a grupos de Microsoft Entra para el acceso de los SRE, SecOps y desarrolladores.
    • Use Red Hat OpenShift en Azure con Microsoft Entra ID para limitar los derechos de usuario y minimizar el número de usuarios que tienen derechos de administrador. Limitar los derechos de usuario protege la configuración y el acceso a los secretos.
    • Proporcione acceso completo solo según sea necesario y Just-In-Time. Use Privileged Identity Management en Microsoft Entra ID y la administración de identidades y acceso en zonas de aterrizaje de Azure.
  • Cargas de trabajo de clúster

Pasos siguientes

Consideraciones de topología y conectividad de red de Red Hat OpenShift en Azure