Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
AKS menggunakan identitas dalam lima skenario yang berbeda. Setiap skenario menjawab pertanyaan yang berbeda dan memiliki model konfigurasinya sendiri. Artikel ini memberikan pengenalan singkat tentang masing-masing dan menunjuk ke dokumentasi mendalam.
Lima skenario identitas di AKS
| Skenario | Pertanyaan yang dijawabnya | Dokumen mendalam |
|---|---|---|
| A. Autentikasi sarana kontrol Kube | Siapa pemanggil yang mengakses API Kubernetes? | Konsep autentikasi kluster, penyedia identitas eksternal |
| B. Otorisasi sarana kontrol Kubernetes | Apa yang diizinkan untuk dilakukan oleh pemanggil ketika diautentikasi ke API Kubernetes? | Konsep otorisasi kluster |
| C. Otorisasi sumber daya AKS (Azure Resource Manager) | Siapa yang dapat melakukan operasi tingkat Azure pada sumber daya AKS, seperti menarik kubeconfig? |
Membatasi akses ke file konfigurasi kluster, peran bawaan Azure |
| D. Identitas kluster (kluster → Azure) | Bagaimana kluster AKS bertindak di Azure untuk mengelola sumber daya atas nama Anda? | Identitas terkelola di AKS |
| E. Identitas beban kerja (pod → Azure) | Bagaimana pod mengautentikasi ke layanan Azure seperti Key Vault atau Storage? | ringkasan Microsoft Entra Workload ID |
Sisa artikel ini memberikan orientasi singkat untuk setiap skenario.
A. Autentikasi sarana kontrol Kube
Autentikasi sarana kontrol Kubernetes menetapkan identitas pengguna atau perwakilan layanan yang memanggil server API Kubernetes. AKS mendukung:
- Microsoft Entra ID (disarankan). Gunakan identitas dan grup Id Entra untuk masuk ke kluster. Integrasi Microsoft Entra mengkonfigurasi dan memperbarui integrasi atas nama Anda. Untuk mengaktifkan, lihat Menggunakan integrasi Microsoft Entra.
- Akun lokal. Sertifikat admin untuk kluster terintegrasi yang dapat mengabaikan Entra ID. Kami merekomendasikan untuk menonaktifkan akun lokal di lingkungan produksi. Lihat Mengelola akun lokal.
- Penyedia identitas eksternal. Gunakan penyedia identitas yang mematuhi OIDC selain Microsoft Entra ID. Lihat Autentikasi penyedia identitas eksternal.
Untuk melihat secara mendalam bagaimana AKS mengautentikasi permintaan API Kubernetes, lihat Konsep autentikasi kluster.
B. Otorisasi sarana kontrol Kubernetes
Setelah penelepon diautentikasi ke API Kubernetes, AKS mengotorisasi permintaan menggunakan satu (atau keduanya) dari dua model:
- RBAC Kubernetes. Model Kubernetes
Role/ClusterRole/RoleBindingasli dievaluasi oleh server API. Izin disimpan di kluster sebagai objek Kubernetes. - Otorisasi Microsoft Entra ID. Webhook otorisasi AKS mendelegasikan keputusan otorisasi ke Microsoft Entra ID menggunakan penugasan peran Azure. Penetapan peran Azure RBAC dengan
dataActionsdidukung untuk semua sumber daya API Kubernetes standar, dan penetapan peran dengan kondisi Azure ABAC didukung untuk sumber daya kustom. Izin dikelola secara terpusat di Microsoft Entra ID dan dapat mengelola banyak kluster dari satu penugasan peran pada tingkat langganan, grup manajemen, atau cakupan grup sumber daya.
Untuk perbandingan dan panduan berdampingan tentang kapan menggunakan setiap model, lihat Konsep otorisasi kluster.
C. Otorisasi sumber daya AKS (Azure Resource Manager)
Selain mengotorisasi panggilan ke API Kubernetes, Anda juga perlu mengotorisasi operasi tingkat Azure pada sumber daya AKS itu sendiri. Contoh paling umum adalah mengendalikan siapa yang dapat mengakses kluster kubeconfig, yang merupakan operasi mandiri di Azure Resource Manager yang dapat Anda atur dengan cermat menggunakan Azure RBAC. Ini adalah RBAC Azure standar untuk penyedia sumber daya Microsoft.ContainerService, terpisah dari otorisasi API Kubernetes. Lihat Membatasi akses ke file konfigurasi kluster dan peran bawaan dalam peran bawaan Azure.
D. Identitas kluster (kluster → Azure)
Kluster AKS menggunakan identitas terkelola Azure untuk bertindak atas nama Anda — misalnya, untuk membuat load balancer, melampirkan disk, atau menarik gambar dari Azure Container Registry. Identitas utama adalah:
- Identitas sarana kontrol. Digunakan oleh sarana kontrol kluster untuk mengelola sumber daya Azure untuk kluster.
- Identitas Kubelet. Digunakan oleh kubelet pada setiap simpul untuk mengautentikasi ke layanan seperti Azure Container Registry.
- Identitas ekstensi. Beberapa add-on dan ekstensi AKS menggunakan identitas terkelola mereka sendiri.
Untuk detail tentang setiap jenis identitas dan cara menggunakan identitas yang ditetapkan sistem vs identitas yang ditetapkan pengguna, lihat Identitas terkelola di AKS.
E. Identitas beban kerja (pod → Azure)
Identitas beban kerja memungkinkan pod yang berjalan di kluster AKS Anda mengautentikasi ke layanan Azure yang dilindungi Microsoft Entra (seperti Key Vault, Storage, atau Cosmos DB) tanpa menyimpan rahasia di kluster. AKS menggunakan ID Beban Kerja Microsoft Entra, yang memproyeksikan token akun layanan Kubernetes yang digabungkan ke aplikasi Microsoft Entra atau identitas terkelola yang ditetapkan pengguna.
Jangan gunakan identitas yang dikelola pod Microsoft Entra yang tidak digunakan lagi untuk beban kerja baru.
Panduan keputusan
| Maksud | Gunakan dokumen ini |
|---|---|
| Memasukkan pengguna ke kluster dengan ID Microsoft Entra | Mengaktifkan integrasi Microsoft Entra |
| Mengatur siapa yang dapat melakukan apa di API Kubernetes di banyak kluster | Menggunakan otorisasi ID Microsoft Entra untuk API Kubernetes |
| Membatasi akses ke jenis sumber daya kustom tertentu | Kondisi ABAC dalam otorisasi ID Entra |
| Menyusun izin per-kluster, per-namespace sebagai objek Kubernetes | Menggunakan RBAC Kubernetes dengan integrasi Entra |
| Biarkan kluster menarik dari ACR atau melampirkan disk | Identitas terkelola di AKS |
| Biarkan pod mencapai Key Vault atau Storage tanpa rahasia | ringkasan Microsoft Entra Workload ID |
Membatasi siapa yang dapat mengunduh kluster kubeconfig |
Membatasi akses ke file konfigurasi kluster |
Referensi izin layanan AKS
Untuk izin Azure yang digunakan oleh AKS — identitas yang membuat kluster, identitas kluster saat runtime, izin identitas kluster tambahan, dan akses simpul AKS — lihat referensi izin layanan AKS.
Langkah berikutnya
- Konsep autentikasi kluster
- Konsep otorisasi kluster
- Menggunakan otorisasi ID Microsoft Entra untuk API Kubernetes
- Identitas terkelola di AKS
- ringkasan Microsoft Entra Workload ID
Untuk informasi lebih lanjut mengenai konsep pokok Kube dan AKS, lihat artikel berikut: