Obtenir un accès sécurisé pour les ressources Azure dans Azure Kubernetes Service en utilisant Truster Access

De nombreux services Azure qui s’intègrent dans Azure Kubernetes Service (AKS) doivent accéder au serveur d’API Kubernetes. Pour éviter d’octroyer à ces services un accès administrateur ou de rendre vos clusters AKS publics pour l’accès réseau, vous pouvez utiliser la fonctionnalité AKS Trusted Access.

Cette fonctionnalité offre aux services un accès sécurisé au serveur d’API AKS en utilisant le back end Azure sans nécessiter de point de terminaison privé. Au lieu de s’appuyer sur des identités avec des autorisations Microsoft Entra ID, cette fonctionnalité peut utiliser votre identité managée affectée par le système pour s’authentifier sur les services managés et les applications que vous voulez utiliser avec vos clusters AKS.

Cet article vous montre comment obtenir un accès sécurisé pour vos services Azure à votre serveur d’API Kubernetes dans AKS en utilisant Trusted Access.

Remarque

L’API Trusted Access est en disponibilité générale. Nous fournissons une prise en charge de la disponibilité générale (GA) pour Azure CLI, mais elle est toujours en préversion et nécessite l’utilisation de l’extension aks-preview.

Vue d’ensemble de la fonctionnalité Trusted Access

Trusted Access répond aux scénarios suivants :

• Si une plage d’adresses IP autorisées est définie ou dans un cluster privé, les services Azure peuvent ne pas être en mesure d’accéder au serveur d’API Kubernetes, sauf si vous implémentez un modèle d’accès de point de terminaison privé.

• Donner à un administrateur de service Azure l’accès à l’API Kubernetes ne suit pas la meilleure pratique d’accès aux privilèges minimum et peut entraîner des élévations de privilèges ou un risque de fuite d’informations d’identification. Par exemple, vous pourriez devoir implémenter des autorisations service-à-service à haut niveau de privilège, et elles ne sont pas idéales dans une revue d’audit.

Vous pouvez utiliser Trusted Access pour donner le consentement explicite à votre identité managée affectée par le système des ressources autorisées d’accéder à vos clusters AKS en utilisant une ressource Azure appelée liaison de rôles. Vos ressources Azure accèdent aux clusters AKS grâce à la passerelle régionale AKS via une authentification par identité managée affectée par le système. Les autorisations Kubernetes appropriées sont affectées via une ressource Azure appelée rôle. En utilisant Trusted Access, vous pouvez accéder aux clusters AKS avec différentes configurations, y compris, mais sans s’y limiter, les clusters privés, les clusters qui ont des comptes locaux désactivés, les clusters Microsoft Entra et les clusters de plage IP autorisée.

Prérequis

• Compte Azure avec un abonnement actif. Créez un compte gratuitement.
• Types de ressources prenant en charge l’identité managée affectée par le système.
• Azure CLI version 2.53.0 ou version ultérieure. Exécutez az --version pour rechercher votre version. Si vous devez installer ou mettre à niveau, voir Installer Azure CLI.
• Pour savoir quels rôles utiliser dans différents scénarios, consultez ces articles :
  • Accès Azure Machine Learning aux clusters AKS avec des configurations spéciales
  • Qu’est-ce que la sauvegarde Azure Kubernetes Service ?
  • Activer une posture de conteneur sans agent

Créer un cluster AKS

Dans le même abonnement que la ressource Azure pour laquelle vous voulez un accès au cluster, créez un cluster AKS.

Sélectionnez les rôles Trusted Access requis

Les rôles que vous sélectionnez dépendent des services Azure pour laquelle vous voulez un accès au cluster AKS. Ces services permettent de créer les rôles et les liaisons de rôles qui établissent la connexion du service Azure à AKS.

Pour trouver les rôles dont vous avez besoin, consultez la documentation du service Azure que vous voulez connecter à AKS. Vous pouvez également utiliser Azure CLI pour lister les rôles disponibles pour le service Azure. Par exemple, afin de lister les rôles pour Azure Machine Learning, utilisez la commande suivante :

az aks trustedaccess role list --location $LOCATION

Créer une liaison de rôles Trusted Access

Après avoir confirmé le rôle à utiliser, utilisez Azure CLI pour créer une liaison de rôles Trusted Access dans le cluster AKS. La liaison de rôles associe le rôle que vous avez choisi au service Azure.

# Create a Trusted Access role binding in an AKS cluster

az aks trustedaccess rolebinding create  --resource-group $RESOURCE_GROUP_NAME --cluster-name $CLUSTER_NAME --name $ROLE_BINDING_NAME --source-resource-id $SOURCE_RESOURCE_ID --roles $ROLE_NAME_1,$ROLE_NAME_2

Voici un exemple :

# Sample command

az aks trustedaccess rolebinding create --resource-group myResourceGroup --cluster-name myAKSCluster --name test-binding --source-resource-id /subscriptions/000-000-000-000-000/resourceGroups/myResourceGroup/providers/Microsoft.MachineLearningServices/workspaces/MyMachineLearning --roles Microsoft.MachineLearningServices/workspaces/mlworkload

Mettre à jour une liaison de rôles Trusted Access existante

Dans les cas d’une liaison de rôles existante avec un service source associé, vous pouvez la mettre à jour avec de nouveaux rôles.

Remarque

Le gestionnaire de modules complémentaires met à jour les clusters toutes les cinq minutes, de sorte que la nouvelle liaison de rôles peut mettre jusqu’à cinq minutes pour prendre effet. Avant que la nouvelle liaison de rôles ne prenne effet, la liaison de rôles existante fonctionne toujours.

Vous pouvez utiliser la commande az aks trusted access rolebinding list pour vérifier la liaison de rôles actuelle.

az aks trustedaccess rolebinding update --resource-group $RESOURCE_GROUP_NAME --cluster-name $CLUSTER_NAME --name $ROLE_BINDING_NAME --roles $ROLE_NAME_3,$ROLE_NAME_4

Afficher une liaison de rôles Trusted Access

Afficher une liaison de rôle Trusted Access spécifique en utilisant la commande az aks trustedaccess rolebinding show :

az aks trustedaccess rolebinding show --name $ROLE_BINDING_NAME --resource-group $RESOURCE_GROUP_NAME --cluster-name $CLUSTER_NAME

Lister toutes les liaisons de rôles Trusted Access pour un cluster

Lister toutes les liaisons de rôles Trusted Access pour un cluster en utilisant la commande az aks trustedaccess rolebinding list:

az aks trustedaccess rolebinding list --resource-group $RESOURCE_GROUP_NAME --cluster-name $CLUSTER_NAME

Supprimer une liaison de rôles Trusted Access pour un cluster

Avertissement

La suppression d’une liaison de rôles Trusted Access existante déconnecte le service Azure du cluster AKS.

Supprimer une liaison de rôles Trusted Access existante en utilisant la commande az aks trustedaccess rolebinding delete:

az aks trustedaccess rolebinding delete --name $ROLE_BINDING_NAME --resource-group $RESOURCE_GROUP_NAME --cluster-name $CLUSTER_NAME

Contenu connexe

• Déployer et gérer des extensions de cluster pour AKS
• Déployer l’extension Azure Machine Learning sur un cluster Kubernetes avec AKS ou Azure Arc
• Déployer Sauvegarde Azure sur un cluster AKS
• Définir une posture de conteneur sans agent dans Microsoft Defender pour le cloud pour un cluster AKS