次の方法で共有

Azure Red Hat OpenShift の ID とアクセス管理に関する考慮事項

ID とアクセスの管理は、Azure Red Hat OpenShift ランディング ゾーン アクセラレータをデプロイする際の組織のセキュリティ設定の重要な部分です。 ID とアクセスの管理には、クラスター ID、ワークロード ID、オペレーター アクセスなどの領域が含まれます。

これらの設計上の考慮事項と推奨事項を使用して、Azure Red Hat OpenShift デプロイで組織の要件を満たす ID およびアクセス管理プランを作成します。

設計に関する考慮事項

  • サービス プリンシパルを作成および管理する方法と、Azure Red Hat OpenShift クラスター ID に対して必要なアクセス許可を決定します。
    • サービス プリンシパルを作成し、アクセス許可を手動で割り当てます。
    • サービス プリンシパルを自動的に作成し、クラスターの作成時にアクセス許可を割り当てます。
  • クラスター アクセスを認証する方法を決定します。
  • マルチテナント クラスターと、Azure Red Hat OpenShift クラスターでロールベースのアクセス制御 (RBAC) を設定する方法を決定します。
    • 分離に使用する方法 (Red Hat OpenShift プロジェクト、ネットワーク ポリシー、またはクラスター) を決定します。
    • 分離のために、OpenShift プロジェクト、プロジェクト ロール、クラスター ロール、およびアプリケーション チームごとのコンピューティング割り当てを決定します。
    • アプリケーション チームがクラスター内の他の OpenShift プロジェクトを読み取ることができるかどうかを決定します。
  • Azure Red Hat OpenShift ランディング ゾーンのカスタム Azure RBAC ロールを決定します。
    • サイト信頼性エンジニアリング (SRE) ロールがクラスター全体を管理およびトラブルシューティングするために必要なアクセス許可を決定します。
    • セキュリティ操作 (SecOps) に必要なアクセス許可を決定します。
    • ランディング ゾーンの所有者に必要なアクセス許可を決定します。
    • アプリケーション チームがクラスターにデプロイするために必要なアクセス許可を決定します。
  • シークレットと機密情報をクラスターに格納する方法を決定します。 シークレットと機密情報は、Base64 でエンコードされた Kubernetes シークレットとして格納することも、 シークレット ストア CSI ドライバー用の Azure Key Vault プロバイダーなどのシークレット ストア プロバイダーを使用することもできます。

設計に関する推奨事項

  • クラスター アイデンティティ
    • サービス プリンシパルを作成し、Azure Red Hat OpenShift ランディング ゾーンのカスタム Azure RBAC ロールを定義します。 ロールを使用すると、Azure Red Hat OpenShift クラスター サービス プリンシパルのアクセス許可を管理する方法が簡略化されます。
  • クラスター アクセス
    • Microsoft Entra ID を使用して Azure Red Hat OpenShift クラスター内のユーザーを認証するように Microsoft Entra 統合 を構成します。
    • OpenShift プロジェクトを定義して、RBAC 特権を制限し、クラスター内のワークロードを分離します。
    • ローカル プロジェクト スコープまたはクラスター スコープのいずれかにスコープを設定する、OpenShift で必要な RBAC ロールを定義します。
    • Azure Red Hat OpenShift を使用して、SRE、SecOps、および開発者アクセス用に Microsoft Entra グループに関連付けられているロール バインドを作成します。
    • Microsoft Entra ID で Azure Red Hat OpenShift を使用して 、ユーザー権限を制限 し、管理者権限を持つユーザーの数を最小限に抑えます。 ユーザー権限を制限すると、構成とシークレットのアクセスが保護されます。
    • 必要に応じてのみ、ジャストインタイムでフル アクセスを付与します。 Microsoft Entra ID で Privileged Identity Management を使用し、Azure ランディング ゾーンの ID とアクセス管理を使用します
  • クラスター ワークロード
    • 機密情報へのアクセスを必要とするアプリケーションの場合は、サービス プリンシパルと Azure Key Vault Provider for Secret Store CSI Driver を使用して、Azure Key Vault に格納されているシークレットをポッドにマウントします。

次のステップ

Azure Red Hat OpenShift のネットワーク トポロジと接続