Рекомендации по управлению удостоверениями и доступом для AKS

В этой статье приводятся рекомендации по проектированию и управлению удостоверениями и доступом при использовании Служба Azure Kubernetes (AKS). Существует несколько аспектов управления удостоверениями и доступом, включая удостоверения кластера, удостоверения рабочей нагрузки и доступ оператора.

Рекомендации по проектированию

• Определите, какое удостоверение кластера следует использовать (управляемое удостоверение или субъект-службу).
• Решите, как пройти проверку подлинности доступа к кластеру: на основе сертификатов клиента или с помощью идентификатора Microsoft Entra.
• Выберите кластер с несколькими клиентами и настройте управление доступом на основе ролей (RBAC) в Kubernetes.
  • Выберите метод изоляции. К методам относятся пространство имен, сетевая политика (разрешено только Azure CNI), вычислительные ресурсы (пул узлов) и кластер.
  • Определите роли RBAC Kubernetes и выделение вычислительных ресурсов для каждой команды приложений для изоляции.
  • Определите, могут ли команды приложений читать другие рабочие нагрузки в своих кластерах или в других кластерах.
• Определите разрешения для пользовательских ролей Azure RBAC для целевой зоны AKS.
  • Определите, какие разрешения необходимы для роли инженерии надежности сайта (SRE), чтобы эта роль позволяет администрировать и устранять неполадки всего кластера.
  • Определите, какие требуются разрешения для SecOps.
  • Определите, какие требуются разрешения для владельца целевой зоны.
  • Определите разрешения, необходимые командам приложений для развертывания в кластере.
• Определите, нужны ли удостоверения рабочей нагрузки (Идентификация рабочей нагрузки Microsoft Entra). Вам может потребоваться их для таких служб, как интеграция Azure Key Vault и Azure Cosmos DB.

Рекомендации по проектированию

• Удостоверения кластера.
  • Используйте собственное управляемое удостоверение для кластера AKS.
  • Определите пользовательские роли RBAC Azure для целевой зоны AKS, чтобы упростить управление необходимыми разрешениями для удостоверения, управляемого кластером.
• Доступ к кластеру.
  • Используйте RBAC Kubernetes с идентификатором Microsoft Entra, чтобы ограничить привилегии и минимизировать привилегии администратора. Это помогает защитить доступ к конфигурации и секретам.
  • Интеграция Microsoft Entra с управлением AKS позволяет использовать идентификатор Microsoft Entra для проверки подлинности и доступа к оператору и разработчику.
• Определите необходимые роли RBAC и привязки ролей в Kubernetes.
  • Используйте роли и привязки ролей Kubernetes к группам Microsoft Entra для проектирования надежности сайта (SRE), SecOps и доступа разработчика.
  • Рассмотрите возможность использования Azure RBAC для Kubernetes, которая обеспечивает унифицированное управление и управление доступом между ресурсами Azure, AKS и ресурсами Kubernetes. Если azure RBAC для Kubernetes включен, вам не нужно отдельно управлять удостоверениями пользователей и учетными данными для Kubernetes. Субъекты Microsoft Entra будут исключительно проверены Azure RBAC, но обычные пользователи Kubernetes и учетные записи служб будут исключительно проверены Kubernetes RBAC.
• При необходимости предоставьте SRE полный доступ.
  • Используйте управление привилегированными пользователями в идентификаторе Microsoft Entra и управлении удостоверениями и доступом в целевых зонах Azure.
• Используйте Идентификация рабочей нагрузки Microsoft Entra для Kubernetes. При реализации этой федерации разработчики могут использовать собственные учетные записи службы Kubernetes и федерацию для доступа к ресурсам, управляемым идентификатором Microsoft Entra, например Azure и Microsoft Graph.