Share via

Pertimbangan manajemen identitas dan akses untuk AKS

  • Artikel

Artikel ini memberikan pertimbangan desain dan rekomendasi untuk manajemen identitas dan akses saat Anda menggunakan Azure Kubernetes Service (AKS). Ada beberapa aspek manajemen identitas dan akses, termasuk identitas kluster, identitas beban kerja, dan akses operator.

Pertimbangan Desain

  • Tentukan identitas kluster mana yang akan digunakan (identitas terkelola atau perwakilan layanan).
  • Tentukan cara mengautentikasi akses kluster: berdasarkan sertifikat klien atau melalui ID Microsoft Entra.
  • Tentukan kluster multipenyewaan dan cara menyiapkan kontrol akses berbasis peran (RBAC) di Kubernetes.
    • Pilih metode untuk isolasi. Metode termasuk namespace layanan, kebijakan jaringan (Hanya diizinkan oleh Azure CNI), komputasi (kumpulan simpul), dan kluster.
    • Tentukan peran RBAC Kube dan alokasi komputasi per tim aplikasi, untuk isolasi.
    • Tentukan apakah tim aplikasi dapat membaca beban kerja lain di kluster mereka atau di kluster lain.
  • Tentukan izin untuk peran Azure RBAC kustom untuk zona pendaratan AKS Anda.
    • Tentukan izin apa yang diperlukan untuk peran rekayasa keandalan situs (SRE) untuk memungkinkan peran tersebut mengelola dan memecahkan masalah seluruh kluster.
    • Tentukan izin yang diperlukan untuk SecOps.
    • Tentukan izin yang diperlukan untuk pemilik zona pendaratan.
    • Tentukan izin apa yang perlu disebarkan tim aplikasi ke dalam kluster.
  • Tentukan apakah Anda memerlukan identitas beban kerja (ID Beban Kerja Microsoft Entra). Anda mungkin memerlukannya untuk layanan seperti integrasi Azure Key Vault dan Azure Cosmos DB.

Rekomendasi desain

  • Identitas kluster.
    • Gunakan identitas terkelola pribadi untuk kluster AKS Anda.
    • Tentukan peran Azure RBAC kustom untuk zona pendaratan AKS Anda guna menyederhanakan pengelolaan izin yang diperlukan untuk identitas yang dikelola kluster.
  • Akses kluster.
    • Gunakan RBAC Kubernetes dengan MICROSOFT Entra ID untuk membatasi hak istimewa dan meminimalkan hak istimewa administrator. Melakukannya membantu melindungi akses konfigurasi dan rahasia.
    • Gunakan integrasi Microsoft Entra yang dikelola AKS sehingga Anda dapat menggunakan ID Microsoft Entra untuk autentikasi dan akses operator dan pengembang.
  • Tentukan peran RBAC dan pengikatan peran yang diperlukan di Kubernetes.
    • Gunakan peran Kubernetes dan pengikatan peran ke grup Microsoft Entra untuk rekayasa keandalan situs (SRE), SecOps, dan akses pengembang.
    • Pertimbangkan untuk menggunakan Azure RBAC untuk Kubernetes, yang memungkinkan manajemen terpadu dan kontrol akses di seluruh sumber daya Azure, AKS, dan sumber daya Kubernetes. Ketika Azure RBAC untuk Kubernetes diaktifkan, Anda tidak perlu mengelola identitas dan kredensial pengguna secara terpisah untuk Kubernetes. Perwakilan Microsoft Entra akan divalidasi secara eksklusif oleh Azure RBAC, tetapi pengguna dan akun layanan Kubernetes reguler akan divalidasi secara eksklusif oleh Kubernetes RBAC.
  • Berikan akses penuh SRE just-in-time, sesuai kebutuhan.
  • Gunakan ID Beban Kerja Microsoft Entra untuk Kubernetes. Saat Anda menerapkan federasi ini, pengembang dapat menggunakan akun layanan dan federasi Kubernetes asli untuk mengakses sumber daya yang dikelola oleh ID Microsoft Entra, seperti Azure dan Microsoft Graph.