Azure Red Hat OpenShift 的身分識別和存取管理考慮

身分識別和存取管理是組織部署 Azure Red Hat OpenShift 登陸區域加速器時，其安全性設定的重要部分。 身分識別和存取管理包括叢集身分識別、工作負載身分識別和操作員存取等區域。

使用這些設計考慮和建議來建立身分識別和存取管理計畫，以符合 Azure Red Hat OpenShift 部署中的組織需求。

設計考量

• 決定如何建立及管理服務主體，以及 Azure Red Hat OpenShift 叢集身分識別必須具備的許可權：
  • 建立服務主體並手動指派許可權。
  • 當您建立叢集時，自動建立服務主體並指派許可權。
• 決定如何驗證叢集存取：
  • 用戶端憑證
  • Microsoft Entra ID
• 決定多租使用者叢集，以及如何在 Azure Red Hat OpenShift 叢集中設定角色型存取控制 （RBAC）。
  • 決定用於隔離的方法：Red Hat OpenShift 專案、網路原則或叢集。
  • 決定每個應用程式小組隔離的 OpenShift 專案、專案角色、叢集角色和計算配置。
  • 決定應用程式小組是否可以讀取其叢集中的其他 OpenShift 專案。
• 決定 Azure Red Hat OpenShift 登陸區域的自訂 Azure RBAC 角色。
  • 決定網站可靠性工程 （SRE） 角色需要哪些許可權，以管理和疑難排解整個叢集。
  • 決定安全性作業所需的許可權 （SecOps）。
  • 決定登陸區域擁有者所需的許可權。
  • 決定應用程式小組部署至叢集所需的許可權。
• 決定如何將秘密和敏感性資訊儲存在您的叢集中。 您可以將秘密和敏感性資訊儲存為 Base64 編碼的 Kubernetes 秘密，或使用秘密存放區提供者，例如 Azure 金鑰保存庫 Provider for Secrets Store CSI 驅動程式 。

設計建議

• 叢集身分識別
  • 建立服務主體，並定義 Azure Red Hat OpenShift 登陸區域的自訂 Azure RBAC 角色。 角色可簡化您管理 Azure Red Hat OpenShift 叢集服務主體許可權的方式。
• 叢集存取
  • 設定 Microsoft Entra 整合 以使用 Microsoft Entra 識別碼來驗證 Azure Red Hat OpenShift 叢集中的使用者。
  • 定義 OpenShift 專案，以限制 RBAC 許可權，並隔離叢集中的工作負載。
  • 在 OpenShift 中定義限定為本機專案範圍或叢集範圍的必要 RBAC 角色。
  • 使用 Azure Red Hat OpenShift 建立系結至 Microsoft Entra 群組以取得 SRE、SecOps 和開發人員存取權的角色系結。
  • 使用 Azure Red Hat OpenShift 搭配 Microsoft Entra ID 來 限制使用者權限，並將具有系統管理員許可權 的使用者數目降到最低。 限制使用者權限可保護設定和秘密存取。
  • 僅視需要提供完整存取權和 Just-In-Time。 在 Azure 登陸區域中 使用 Microsoft Entra ID 和 身分識別和存取管理中的 Privileged Identity Management。
• 叢集工作負載
  • 對於需要存取敏感性資訊的應用程式，請使用服務主體和 Azure 金鑰保存庫 Provider for Secret Store CSI Driver ，將儲存在 Azure 金鑰保存庫中的秘密掛接至您的 Pod。

下一步

Azure Red Hat OpenShift 的網路拓撲和連線能力