Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
L’ID Microsoft Entra et le contrôle d’accès en fonction du rôle Azure (Azure RBAC) vous permettent de contrôler les vérifications d’autorisation sur votre cluster Kubernetes avec Azure Arc. L’utilisation d’Azure RBAC avec votre cluster vous offre les avantages des attributions de rôles Azure, telles que les journaux d’activité montrant les modifications apportées par les utilisateurs à votre ressource Azure.
Architecture
Pour télécharger des diagrammes d’architecture en haute résolution, visitez Jumpstart Gems.
Pour router tous les contrôles d’accès d’autorisation vers le service d’autorisation dans Azure, un serveur webhook (guard) est déployé sur le cluster.
L’apiserver
du cluster est configuré pour utiliser une authentification par jeton de webhook et une autorisation webhook afin que les demandes TokenAccessReview
et SubjectAccessReview
soient routées vers le serveur webhook guard. Les demandes TokenAccessReview
et SubjectAccessReview
sont déclenchées par des demandes de ressources Kubernetes adressées à l’apiserver
.
La protection effectue ensuite un appel checkAccess
sur le service d’autorisation dans Azure pour voir si l’entité Microsoft Entra qui fait la demande a accès à la ressource concernée.
Si cette entité a un rôle qui permet cet accès, une réponseallowed
est envoyée par le service d’autorisation au gardien. Le serveur guard, à son tour, envoie une réponse allowed
à l’apiserver
, ce qui permet à l’entité appelante d’accéder à la ressource Kubernetes demandée.
Si l’entité n’a pas de rôle qui autorise cet accès, une denied
réponse est envoyée à partir du service d’autorisation pour la protection. Le serveur guard envoie une réponse denied
à l’apiserver
, notifiant à l’entité appelante une erreur 403 (interdite) sur la ressource demandée.
Activer Azure RBAC sur vos clusters Kubernetes avec Arc
Pour plus d’informations sur la configuration d’Azure RBAC et la création d’attributions de rôles pour vos clusters, consultez Utiliser Azure RBAC sur des clusters Kubernetes avec Azure Arc.
Étapes suivantes
- Utilisez notre guide de démarrage rapide pour connecter un cluster Kubernetes à Azure Arc.
- Configurez Azure RBAC sur votre cluster Kubernetes compatible avec Azure Arc.
- Aidez-vous à protéger votre cluster de différentes façons en suivant les instructions du livre de sécurité pour Kubernetes avec Azure Arc.