Compartilhar via

Considerações sobre o gerenciamento de identidade e acesso ao AKS

  • Artigo

Este artigo fornece considerações de design e recomendações para gerenciamento de identidade e acesso quando você usa o Serviço de Kubernetes do Azure (AKS). Há vários aspectos do gerenciamento de identidade e acesso, incluindo identidades de cluster, identidades de carga de trabalho e acesso de operador.

Considerações sobre o design

  • Decida qual identidade de cluster usar (identidade gerenciada ou entidade de serviço).
  • Decida como autenticar o acesso ao cluster: com base em certificados de cliente ou via Microsoft Entra ID.
  • Decida sobre um cluster de multilocação e sobre como configurar o RBAC (controle de acesso baseado em função) no Kubernetes.
    • Escolha um método para isolamento. Os métodos incluem namespace, política de rede (permitido somente pelo CNI do Azure), computação (pool de nós) e cluster.
    • Determine as funções RBAC do Kubernetes e a alocação de computação por equipe de aplicativo, para isolamento.
    • Decida se as equipes de aplicativos podem ler outras cargas de trabalho em seus clusters ou em outros clusters.
  • Determine as permissões para funções RBAC personalizadas do Azure para sua zona de aterrissagem do AKS.
    • Decida quais permissões são necessárias para a função de engenharia de confiabilidade de site (SRE) para permitir que essa função administre e solucione problemas de todo o cluster.
    • Decida as permissões necessárias para SecOps.
    • Decida as permissões necessárias para o proprietário da zona de destino.
    • Decida quais permissões as equipes de aplicativos precisarão implantar no cluster.
  • Decida se você precisa de identidades de carga de trabalho (ID de carga de trabalho do Microsoft Entra). Talvez você precise deles para serviços como a integração do Cofre de Chaves do Azure e o Azure Cosmos DB.

Recomendações sobre design

  • Identidades de cluster.
    • Use sua própria identidade gerenciada para o cluster do AKS.
    • Defina funções personalizadas do RBAC do Azure para sua zona de destino do AKS para simplificar o gerenciamento das permissões necessárias à identidade gerenciada pelo cluster.
  • Acesso ao cluster.
    • Use o Kubernetes RBAC com o Microsoft Entra ID para limitar privilégios e minimizar privilégios de administrador. Isso ajuda a proteger a configuração e o acesso a segredos.
    • Use a integração do Microsoft Entra gerenciada pelo AKS para que você possa usar o Microsoft Entra ID para autenticação e acesso de operador e desenvolvedor.
  • Defina as funções RBAC e as associações de função necessárias no Kubernetes.
    • Use funções do Kubernetes e associações de função para grupos do Microsoft Entra para engenharia de confiabilidade de site (SRE), SecOps e acesso de desenvolvedor.
    • Considere o uso do RBAC do Azure para Kubernetes, que permite o gerenciamento unificado e o controle de acesso entre recursos do Azure, AKS e recursos do Kubernetes. Quando o RBAC do Azure para Kubernetes está habilitado, você não precisa gerenciar separadamente identidades e credenciais de usuário para o Kubernetes. As entidades do Microsoft Entra serão validadas exclusivamente pelo RBAC do Azure, mas os usuários regulares do Kubernetes e as contas de serviço serão validados exclusivamente pelo RBAC do Kubernetes.
  • Conceda ao SRE acesso total just-in-time, conforme necessário.
  • Use a ID de carga de trabalho do Microsoft Entra para Kubernetes. Quando você implementa essa federação, os desenvolvedores podem usar contas de serviço e federação nativas do Kubernetes para acessar recursos gerenciados pelo Microsoft Entra ID, como o Azure e o Microsoft Graph.