Azure Kubernetes Fleet Manager-erőforrásokhoz való hozzáférés biztosítása azure-beli szerepköralapú hozzáférés-vezérléssel
Az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) az Azure Resource Managerre épülő engedélyezési rendszer, amely részletes hozzáférés-kezelést biztosít az Azure-erőforrásokhoz.
Ez a cikk áttekintést nyújt a különböző beépített Azure RBAC-szerepkörökről, amelyekkel hozzáférhet az Azure Kubernetes Fleet Manager (Kubernetes Fleet) erőforrásaihoz.
Vezérlősík
Ez a szerepkör hozzáférést biztosít az Azure Resource Manager (ARM) flottaerőforrásaihoz és alforrásaihoz, és a Kubernetes Fleet-erőforrást központi fürttel és anélkül is alkalmazható.
| Szerepkör neve | Leírás | Használat |
|---|---|---|
| Azure Kubernetes Fleet Manager-közreműködő | Ez a szerepkör olvasási és írási hozzáférést biztosít az Azure Kubernetes Fleet Manager által biztosított Azure-erőforrásokhoz, beleértve a flottákat, a flottatagokat, a flottafrissítési stratégiákat, a flottafrissítési futtatásokat és egyebeket. | Ezt a szerepkört arra használhatja, hogy közreműködői engedélyeket adjon, amelyek kizárólag a Kubernetes Fleet erőforrásaira és alforrásaira vonatkoznak. Ez a szerepkör például megadható egy Azure-rendszergazda számára, aki a Fleet-erőforrások meghatározásával és karbantartásával van megbízva. |
Adatsík
Ezek a szerepkörök hozzáférést biztosítanak a Fleet Hub Kubernetes-objektumokhoz, ezért csak a központi fürttel rendelkező Kubernetes Fleet-erőforrásokra vonatkoznak.
A szerepkör-hozzárendelési hatókörhöz hozzáfűzve /namespace/<namespace> adatsík-szerepköröket rendelhet a Fleet Hub-fürt hatóköréhez, vagy egy egyéni Kubernetes-névtér-hatókörhöz.
| Szerepkör neve | Leírás | Használat |
|---|---|---|
| Azure Kubernetes Fleet Manager RBAC-olvasó | Írásvédett hozzáférést biztosít a legtöbb Kubernetes-erőforráshoz a flotta által felügyelt központi fürt névterében. Nem teszi lehetővé a szerepkörök vagy szerepkörkötések megtekintését. Ez a szerepkör nem teszi lehetővé a titkos kódok megtekintését, mivel a titkos kódok tartalmának olvasása lehetővé teszi a névtérben lévő hitelesítő adatok elérését ServiceAccount , ami lehetővé teszi az API-hozzáférést a névtérben ( ServiceAccount a jogosultságok eszkalálásának egy formája). Ha ezt a szerepkört a fürt hatókörében alkalmazza, az összes névtérhez hozzáférést biztosít. |
Ezzel a szerepkörrel lehetővé teheti a kijelölt nem érzékeny Kubernetes-objektumok beolvasását névtérben vagy fürt hatókörében. Ezt a szerepkört például véleményezés céljából is megadhatja. |
| Azure Kubernetes Fleet Manager RBAC-író | Olvasási és írási hozzáférést biztosít a legtöbb Kubernetes-erőforráshoz a flotta által felügyelt központi fürt névterében. Ez a szerepkör nem teszi lehetővé a szerepkörök vagy szerepkörkötések megtekintését vagy módosítását. Ez a szerepkör azonban lehetővé teszi a titkos kódokhoz való hozzáférést, mint bármely a ServiceAccount névtérben, így a névtér bármelyikének ServiceAccount API-hozzáférési szintjeinek megszerzésére használható. Ha ezt a szerepkört a fürt hatókörében alkalmazza, az összes névtérhez hozzáférést biztosít. |
Ezzel a szerepkörrel lehetővé teheti a kijelölt Kubernetes-objektumok névtérben vagy fürt hatókörében való írását. Például egy adott névtérben lévő objektumokért felelős projektcsapat általi használatra. |
| Azure Kubernetes Fleet Manager RBAC Rendszergazda | Olvasási és írási hozzáférést biztosít a Kubernetes-erőforrásokhoz a flotta által felügyelt központi fürt névterében. Írási engedélyeket biztosít a névtérben lévő legtöbb objektumhoz ResourceQuota , kivéve az objektumot és magát a névtérobjektumot. Ha ezt a szerepkört a fürt hatókörében alkalmazza, az összes névtérhez hozzáférést biztosít. |
Ezzel a szerepkörrel lehetővé teheti a kijelölt Kubernetes-objektumok felügyeletét (beleértve a szerepköröket és a szerepkör-kötéseket) névtérben vagy fürt hatókörében. Például egy adott névtérben lévő objektumokért felelős projektcsapat általi használatra. |
| Azure Kubernetes Fleet Manager RBAC-fürt Rendszergazda | Olvasási/írási hozzáférést biztosít a flotta által felügyelt központi fürt összes Kubernetes-erőforrásához. | Ezzel a szerepkörrel hozzáférést biztosíthat az összes Kubernetes-objektumhoz (beleértve a CRD-ket is) névtérben vagy fürt hatókörében. |
Példaszerepkör-hozzárendelések
Azure RBAC-szerepköröket az Azure CLI használatával adhat meg. Szerepkör-hozzárendelés létrehozása például a Kubernetes Fleet Hub-fürt hatókörében:
IDENTITY=$(az ad signed-in-user show --output tsv --query id)
FLEET_ID=$(az fleet show --resource-group $GROUP --name $FLEET --output tsv --query id)
az role assignment create --role 'Azure Kubernetes Fleet Manager RBAC Reader' --assignee "$IDENTITY" --scope "$FLEET_ID"
Az egyes Kubernetes-névterek szerepkör-hozzárendeléseit is hatókörbe helyezheti. Például egy Kubernetes Fleet Hub alapértelmezett Kubernetes-névteréhez tartozó szerepkör-hozzárendelés létrehozásához:
IDENTITY=$(az ad signed-in-user show --output tsv --query id)
FLEET_ID=$(az fleet show --resource-group $GROUP --name $FLEET --output tsv --query id)
az role assignment create --role 'Azure Kubernetes Fleet Manager RBAC Reader' --assignee "$IDENTITY" --scope "$FLEET_ID/namespaces/default"
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: