Pertimbangan manajemen identitas dan akses untuk Azure Red Hat OpenShift
Manajemen identitas dan akses adalah bagian penting dari pengaturan keamanan organisasi saat menyebarkan akselerator zona pendaratan Azure Red Hat OpenShift. Manajemen identitas dan akses mencakup area seperti identitas kluster, identitas beban kerja, dan akses operator.
Gunakan pertimbangan dan rekomendasi desain ini untuk membuat rencana manajemen identitas dan akses yang memenuhi persyaratan organisasi Anda dalam penyebaran Azure Red Hat OpenShift Anda.
Pertimbangan Desain
- Tentukan cara membuat dan mengelola perwakilan layanan Anda dan izin yang harus dimilikinya untuk identitas kluster Azure Red Hat OpenShift:
- Buat perwakilan layanan dan tetapkan izin secara manual.
- Buat perwakilan layanan secara otomatis dan tetapkan izin saat Anda membuat kluster.
- Tentukan cara mengautentikasi akses kluster:
- Sertifikat klien
- Microsoft Entra ID
- Tentukan kluster multitenansi dan cara menyiapkan kontrol akses berbasis peran (RBAC) di kluster Azure Red Hat OpenShift Anda.
- Tentukan metode yang akan digunakan untuk isolasi: Proyek Red Hat OpenShift, kebijakan jaringan, atau kluster.
- Tentukan proyek OpenShift, peran proyek, peran kluster, dan alokasi komputasi per tim aplikasi untuk isolasi.
- Tentukan apakah tim aplikasi dapat membaca proyek OpenShift lainnya di kluster mereka.
- Tentukan peran Azure RBAC kustom untuk zona pendaratan Azure Red Hat OpenShift Anda.
- Tentukan izin apa yang diperlukan untuk peran rekayasa keandalan situs (SRE) untuk mengelola dan memecahkan masalah seluruh kluster.
- Tentukan izin apa yang diperlukan untuk operasi keamanan (SecOps).
- Tentukan izin apa yang diperlukan untuk pemilik zona pendaratan.
- Tentukan izin apa yang diperlukan bagi tim aplikasi untuk disebarkan ke kluster.
- Tentukan cara menyimpan rahasia dan informasi sensitif di kluster Anda. Anda dapat menyimpan rahasia dan informasi sensitif sebagai rahasia Kubernetes yang dikodekan Base64 atau menggunakan penyedia penyimpanan rahasia seperti Penyedia Azure Key Vault untuk Driver CSI Secrets Store.
Rekomendasi desain
- Identitas kluster
- Buat perwakilan layanan dan tentukan peran Azure RBAC kustom untuk zona arahan Azure Red Hat OpenShift Anda. Peran menyederhanakan cara Anda mengelola izin untuk perwakilan layanan kluster Azure Red Hat OpenShift Anda.
- Akses kluster
- Konfigurasikan integrasi Microsoft Entra untuk menggunakan ID Microsoft Entra untuk mengautentikasi pengguna di kluster Azure Red Hat OpenShift Anda.
- Tentukan proyek OpenShift untuk membatasi hak istimewa RBAC dan mengisolasi beban kerja di kluster Anda.
- Tentukan peran RBAC yang diperlukan di OpenShift yang dilingkup ke cakupan proyek lokal atau cakupan kluster.
- Gunakan Azure Red Hat OpenShift untuk membuat pengikatan peran yang terkait dengan grup Microsoft Entra untuk akses SRE, SecOps, dan pengembang.
- Gunakan Azure Red Hat OpenShift dengan MICROSOFT Entra ID untuk membatasi hak pengguna dan meminimalkan jumlah pengguna yang memiliki hak administrator. Membatasi hak pengguna melindungi akses konfigurasi dan rahasia.
- Berikan akses penuh hanya sesuai kebutuhan dan just-in-time. Gunakan Privileged Identity Management di ID Microsoft Entra dan manajemen identitas dan akses di zona pendaratan Azure.
- Beban kerja kluster
- Untuk aplikasi yang memerlukan akses ke informasi sensitif, gunakan perwakilan layanan dan Penyedia Azure Key Vault untuk Driver CSI Secret Store untuk memasang rahasia yang disimpan di Azure Key Vault ke pod Anda.
Langkah berikutnya
Topologi dan konektivitas jaringan untuk Azure Red Hat OpenShift
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk