Visão geral da identidade e acesso do Kubernetes habilitado para Azure Arc
Você pode autenticar, autorizar e controlar o acesso aos seus clusters Kubernetes habilitados para Azure Arc. Este tópico fornece uma visão geral das opções para fazer isso com seus clusters Kubernetes habilitados para Arc.
Esta imagem mostra as maneiras como essas diferentes opções podem ser usadas:
Você também pode usar a conexão de cluster e o RBAC do Azure juntos, se isso for mais apropriado para suas necessidades.
Opções de conectividade
Ao planejar como os usuários autenticarão e acessarão clusters Kubernetes habilitados para Arc, a primeira decisão é se você deseja ou não usar o recurso de conexão de cluster.
Ligação do cluster
O recurso de conexão de cluster do Kubernetes habilitado para o Azure Arc fornece conectividade com o apiserver
cluster. Essa conectividade não requer que nenhuma porta de entrada esteja habilitada no firewall. Um agente de proxy reverso em execução no cluster pode iniciar com segurança uma sessão com o serviço Azure Arc de maneira de saída.
Com a conexão de cluster, seus clusters habilitados para Arc podem ser acessados no Azure ou na Internet. Esse recurso pode ajudar a habilitar cenários interativos de depuração e solução de problemas. A conexão de cluster também pode exigir menos interação para atualizações quando as permissões são necessárias para novos usuários. Todas as opções de autorização e autenticação descritas neste artigo funcionam com conexão de cluster.
A conexão de cluster é necessária se você quiser usar locais personalizados ou exibir recursos do Kubernetes no portal do Azure.
Para obter mais informações, consulte Usar conexão de cluster para se conectar com segurança a clusters Kubernetes habilitados para Azure Arc.
Microsoft Entra ID e Azure RBAC sem conexão de cluster
Se você não quiser usar a conexão de cluster, poderá autenticar e autorizar os usuários para que eles possam acessar o cluster conectado usando a ID do Microsoft Entra e o controle de acesso baseado em função do Azure (Azure RBAC). Usar o RBAC do Azure no Kubernetes habilitado para Arco do Azure permite controlar o acesso concedido aos usuários em seu locatário, gerenciando o acesso diretamente do Azure usando recursos familiares de identidade e acesso do Azure. Você também pode configurar funções no escopo da assinatura ou do grupo de recursos, permitindo que elas sejam distribuídas para todos os clusters conectados dentro desse escopo.
O RBAC do Azure dá suporte ao acesso condicional, permitindo que você habilite o acesso ao cluster just-in-time ou limite o acesso a clientes ou dispositivos aprovados.
O RBAC do Azure também dá suporte a um modo direto de comunicação, usando identidades do Microsoft Entra para acessar clusters conectados diretamente de dentro do datacenter, em vez de exigir que todas as conexões passem pelo Azure.
O RBAC do Azure no Kubernetes habilitado para Arc está atualmente em visualização pública. Para obter mais informações, consulte Usar o RBAC do Azure em clusters Kubernetes habilitados para Azure Arc.
Opções de autenticação
A autenticação é o processo de verificação da identidade de um usuário. Há duas opções para autenticação em um cluster Kubernetes habilitado para Arc: cluster connect e Azure RBAC.
Autenticação do Microsoft Entra
O recurso do Kubernetes habilitado para RBAC do Azure no Arc permite que você use a ID do Microsoft Entra para permitir que os usuários em seu locatário do Azure acessem seus clusters Kubernetes conectados.
Você também pode usar a autenticação do Microsoft Entra com conexão de cluster. Para obter mais informações, consulte Opção de autenticação do Microsoft Entra.
Autenticação de token de serviço
Com a conexão de cluster, você pode optar por autenticar por meio de contas de serviço.
Para obter mais informações, consulte Opção de autenticação de token de conta de serviço.
Opções de autorização
A autorização concede a um usuário autenticado a permissão para executar ações especificadas. Com o Kubernetes habilitado para Azure Arc, há duas opções de autorização, ambas usando RBAC (controle de acesso baseado em função):
- O controle de acesso baseado em função do Azure (Azure RBAC) usa o Microsoft Entra ID e o Azure Resource Manager para fornecer gerenciamento de acesso refinado aos recursos do Azure. Isso permite que os benefícios das atribuições de função do Azure, como logs de atividades que controlam todas as alterações feitas, sejam usados com seus clusters Kubernetes habilitados para Azure Arc.
- O controle de acesso baseado em função do Kubernetes (Kubernetes RBAC) permite configurar dinamicamente políticas por meio da API do Kubernetes para que usuários, grupos e contas de serviço só tenham acesso a recursos específicos do cluster.
Enquanto o RBAC do Kubernetes funciona apenas em recursos do Kubernetes dentro do cluster, o RBAC do Azure funciona em recursos em toda a sua assinatura do Azure.
Autorização do Azure RBAC
O RBAC (controle de acesso baseado em função) do Azure é um sistema de autorização criado no Azure Resource Manager e no Microsoft Entra ID que fornece gerenciamento de acesso refinado dos recursos do Azure. Com o RBAC do Azure, as definições de função descrevem as permissões a serem aplicadas. Você atribui essas funções a usuários ou grupos por meio de uma atribuição de função para um escopo específico. O escopo pode ser em toda a assinatura ou limitado a um grupo de recursos ou a um recurso individual, como um cluster Kubernetes.
Se você estiver usando a autenticação do Microsoft Entra sem conexão de cluster, a autorização do RBAC do Azure será sua única opção de autorização.
Se você estiver usando a conexão de cluster com a autenticação do Microsoft Entra, terá a opção de usar o RBAC do Azure para conectividade com o apiserver
cluster. Para obter mais informações, consulte Opção de autenticação do Microsoft Entra.
Autorização RBAC do Kubernetes
O RBAC do Kubernetes fornece filtragem granular das ações do usuário. Com o Kubernetes RBAC, você atribui permissão a usuários ou grupos para criar e modificar recursos ou exibir logs de cargas de trabalho de aplicativos em execução. Você pode criar funções para definir permissões e, em seguida, atribuir essas funções a usuários com associações de função. As permissões podem ter como escopo um único namespace ou em todo o cluster.
Se você estiver usando a conexão de cluster com a opção de autenticação de token de conta de serviço, deverá usar o RBAC do Kubernetes para fornecer conectividade ao apiserver
cluster. Essa conectividade não requer que nenhuma porta de entrada esteja habilitada no firewall. Um agente de proxy reverso em execução no cluster pode iniciar com segurança uma sessão com o serviço Azure Arc de maneira de saída.
Se você estiver usando a conexão de cluster com a autenticação do Microsoft Entra, também terá a opção de usar o RBAC do Kubernetes em vez do RBAC do Azure.
Próximos passos
- Saiba mais sobre o Azure Microsoft Entra ID e o Azure role-based access control (Azure RBAC).
- Saiba mais sobre o acesso de conexão de cluster a clusters Kubernetes habilitados para Azure Arc.
- Saiba mais sobre o Azure RBAC no Kubernetes habilitado para Azure Arc
- Saiba mais sobre as opções de acesso e identidade para clusters do Serviço Kubernetes do Azure (AKS).