Controllo degli accessi in base al ruolo di Azure nei cluster Kubernetes abilitati per Azure Arc
I tipi di oggetto Kubernetes ClusterRoleBinding e RoleBinding consentono di definire l'autorizzazione in Kubernetes in modo nativo. Con il controllo degli accessi in base al ruolo di Azure, è possibile usare l'ID e le assegnazioni di ruolo di Microsoft Entra in Azure per controllare i controlli di autorizzazione nel cluster. Ciò consente di sfruttare i vantaggi delle assegnazioni di ruolo di Azure, ad esempio i log attività che mostrano tutte le modifiche del controllo degli accessi in base al ruolo di Azure in una risorsa di Azure, da usare con il cluster Kubernetes abilitato per Azure Arc.
Architettura
Per instradare tutti i controlli di accesso alle autorizzazioni al servizio di autorizzazione in Azure, nel cluster viene distribuito un server webhook (guard).
L'oggetto apiserver
del cluster è configurato per l'uso dell'autenticazione del token webhook e dell'autorizzazione webhook in modo che TokenAccessReview
le richieste e SubjectAccessReview
vengano instradate al server webhook di protezione. Le TokenAccessReview
richieste e SubjectAccessReview
vengono attivate dalle richieste per le risorse Kubernetes inviate a apiserver
.
Guard effettua quindi una checkAccess
chiamata al servizio di autorizzazione in Azure per verificare se l'entità Microsoft Entra richiedente ha accesso alla risorsa di preoccupazione.
Se tale entità ha un ruolo che consente l'accesso, viene inviata una allowed
risposta dal servizio di autorizzazione per proteggere. Guard, a sua volta, invia una allowed
risposta a , consentendo all'entità apiserver
chiamante di accedere alla risorsa Kubernetes richiesta.
Se l'entità non ha un ruolo che consente questo accesso, viene inviata una denied
risposta dal servizio di autorizzazione per proteggere. Guard invia una denied
risposta a , dando all'entità apiserver
chiamante un errore 403 non consentito nella risorsa richiesta.
Passaggi successivi
- Usare la guida introduttiva per connettere un cluster Kubernetes ad Azure Arc.
- Configurare il controllo degli accessi in base al ruolo di Azure nel cluster Kubernetes abilitato per Azure Arc.
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per