Možnosti identit a přístupu pro Azure Kubernetes Service (AKS)

Přístup ke clusterům Kubernetes můžete ověřovat, autorizovat, zabezpečit a řídit různými způsoby.

  • Pomocí řízení přístupu na základě role Kubernetes (Kubernetes RBAC) můžete uživatelům, skupinám a účtům služeb udělit přístup jenom k prostředkům, které potřebují.
  • S Azure Kubernetes Service (AKS) můžete dále vylepšit strukturu zabezpečení a oprávnění prostřednictvím Azure Active Directory a Azure RBAC.

Kubernetes RBAC a AKS vám pomůžou zabezpečit přístup ke clusteru a poskytnout vývojářům a operátorům jenom minimální požadovaná oprávnění.

Tento článek představuje základní koncepty, které vám pomůžou ověřovat a přiřazovat oprávnění v AKS.

Oprávnění služby AKS

Při vytváření clusteru AKS generuje nebo upravuje prostředky, které potřebuje (například virtuální počítače a síťové karty) k vytvoření a spuštění clusteru jménem uživatele. Tato identita se liší od oprávnění identity clusteru, které se vytvoří během vytváření clusteru.

Vytvoření a provoz oprávnění clusteru identit

Při vytváření a provozu clusteru jsou potřeba následující oprávnění.

Oprávnění Důvod
Microsoft.Compute/diskEncryptionSets/read Vyžaduje se ke čtení ID sady šifrování disku.
Microsoft.Compute/proximityPlacementGroups/write Vyžaduje se pro aktualizaci skupin umístění bezkontaktní komunikace.
Microsoft.Network/applicationGateways/read
Microsoft.Network/applicationGateways/write
Microsoft.Network/virtualNetworks/subnets/join/action
Vyžaduje se ke konfiguraci aplikačních bran a připojení k podsíti.
Microsoft.Network/virtualNetworks/subnets/join/action Vyžaduje se ke konfiguraci skupiny zabezpečení sítě pro podsíť při použití vlastní virtuální sítě.
Microsoft.Network/publicIPAddresses/join/action
Microsoft.Network/publicIPPrefixes/join/action
Vyžaduje se ke konfiguraci odchozích veřejných IP adres na Standard Load Balancer.
Microsoft.OperationalInsights/workspaces/sharedkeys/read
Microsoft.OperationalInsights/workspaces/read
Microsoft.OperationsManagement/solutions/write
Microsoft.OperationsManagement/solutions/read
Microsoft.ManagedIdentity/userAssignedIdentities/assign/action
Vyžaduje se k vytvoření a aktualizaci pracovních prostorů služby Log Analytics a monitorování Azure pro kontejnery.

Oprávnění identit clusteru AKS

Identita clusteru AKS, která je vytvořená a přidružená ke clusteru AKS, používají následující oprávnění. Každé oprávnění se používá z následujících důvodů:

Oprávnění Důvod
Microsoft.ContainerService/managedClusters/*
Vyžadováno pro vytváření uživatelů a provoz clusteru
Microsoft.Network/loadBalancers/delete
Microsoft.Network/loadBalancers/read
Microsoft.Network/loadBalancers/write
Vyžaduje se ke konfiguraci nástroje pro vyrovnávání zatížení pro službu LoadBalancer.
Microsoft.Network/publicIPAddresses/delete
Microsoft.Network/publicIPAddresses/read
Microsoft.Network/publicIPAddresses/write
Vyžaduje se k vyhledání a konfiguraci veřejných IP adres pro službu LoadBalancer.
Microsoft.Network/publicIPAddresses/join/action Vyžaduje se pro konfiguraci veřejných IP adres pro službu LoadBalancer.
Microsoft.Network/networkSecurityGroups/read
Microsoft.Network/networkSecurityGroups/write
Vyžaduje se k vytvoření nebo odstranění pravidel zabezpečení pro službu LoadBalancer.
Microsoft.Compute/disks/delete
Microsoft.Compute/disks/read
Microsoft.Compute/disks/write
Microsoft.Compute/locations/DiskOperations/read
Vyžaduje se ke konfiguraci disků Azure.
Microsoft.Storage/storageAccounts/delete
Microsoft.Storage/storageAccounts/listKeys/action
Microsoft.Storage/storageAccounts/read
Microsoft.Storage/storageAccounts/write
Microsoft.Storage/operations/read
Vyžaduje se ke konfiguraci účtů úložiště pro AzureFile nebo AzureDisk.
Microsoft.Network/routeTables/read
Microsoft.Network/routeTables/routes/delete
Microsoft.Network/routeTables/routes/read
Microsoft.Network/routeTables/routes/write
Microsoft.Network/routeTables/write
Vyžaduje se ke konfiguraci směrovacích tabulek a tras pro uzly.
Microsoft.Compute/virtualMachines/read Vyžaduje se k vyhledání informací pro virtuální počítače ve virtuálních počítačích, jako jsou zóny, doména selhání, velikost a datové disky.
Microsoft.Compute/virtualMachines/write Vyžadováno pro připojení Disků Azure k virtuálnímu počítači ve VMAS.
Microsoft.Compute/virtualMachineScaleSets/read
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read
Microsoft.Compute/virtualMachineScaleSets/virtualmachines/instanceView/read
Vyžaduje se k vyhledání informací pro virtuální počítače ve škálovací sadě virtuálních počítačů, jako jsou zóny, doména selhání, velikost a datové disky.
Microsoft.Network/networkInterfaces/write Vyžaduje se k přidání virtuálního počítače do back-endového fondu adres nástroje pro vyrovnávání zatížení.
Microsoft.Compute/virtualMachineScaleSets/write Vyžaduje se přidání škálovací sady virtuálních počítačů do back-endových fondů adres nástroje pro vyrovnávání zatížení a uzlů horizontálního navýšení kapacity ve škálovací sadě virtuálních počítačů.
Microsoft.Compute/virtualMachineScaleSets/delete Vyžaduje se k odstranění škálovací sady virtuálních počítačů na back-endové fondy adres nástroje pro vyrovnávání zatížení a škálování uzlů ve škálovací sadě virtuálních počítačů.
Microsoft.Compute/virtualMachineScaleSets/virtualmachines/write Vyžaduje se k připojení disků Azure a přidání virtuálního počítače ze škálovací sady virtuálních počítačů do nástroje pro vyrovnávání zatížení.
Microsoft.Network/networkInterfaces/read Vyžaduje se pro vyhledávání interních IP adres a back-endových fondů adres nástroje pro vyrovnávání zatížení pro virtuální počítače ve virtuálních počítačích.
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/networkInterfaces/read Vyžaduje se pro vyhledávání interních IP adres a back-endových fondů adres nástroje pro vyrovnávání zatížení virtuálního počítače ve škálovací sadě virtuálních počítačů.
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/networkInterfaces/ipconfigurations/publicipaddresses/read Vyžaduje se k vyhledání veřejných IP adres pro virtuální počítač ve škálovací sadě virtuálních počítačů.
Microsoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/subnets/read
Vyžaduje se k ověření, jestli existuje podsíť pro interní nástroj pro vyrovnávání zatížení v jiné skupině prostředků.
Microsoft.Compute/snapshots/delete
Microsoft.Compute/snapshots/read
Microsoft.Compute/snapshots/write
Vyžaduje se ke konfiguraci snímků pro AzureDisk.
Microsoft.Compute/locations/vmSizes/read
Microsoft.Compute/locations/operations/read
Vyžaduje se k vyhledání velikostí virtuálních počítačů pro vyhledání limitů svazků AzureDisk.

Další oprávnění identit clusteru

Při vytváření clusteru s konkrétními atributy budete potřebovat následující další oprávnění pro identitu clusteru. Vzhledem k tomu, že tato oprávnění nejsou automaticky přiřazená, musíte je po vytvoření přidat do identity clusteru.

Oprávnění Důvod
Microsoft.Network/networkSecurityGroups/write
Microsoft.Network/networkSecurityGroups/read
Vyžaduje se, pokud používáte skupinu zabezpečení sítě v jiné skupině prostředků. Vyžaduje se ke konfiguraci pravidel zabezpečení pro službu LoadBalancer.
Microsoft.Network/virtualNetworks/subnets/read
Microsoft.Network/virtualNetworks/subnets/join/action
Vyžaduje se, pokud používáte podsíť v jiné skupině prostředků, jako je například vlastní virtuální síť.
Microsoft.Network/routeTables/routes/read
Microsoft.Network/routeTables/routes/write
Vyžaduje se, pokud používáte podsíť přidruženou ke směrovací tabulce v jiné skupině prostředků, jako je vlastní virtuální síť s vlastní směrovací tabulkou. Vyžaduje se k ověření, jestli podsíť již pro podsíť existuje v jiné skupině prostředků.
Microsoft.Network/virtualNetworks/subnets/read Vyžaduje se, pokud používáte interní nástroj pro vyrovnávání zatížení v jiné skupině prostředků. Vyžaduje se k ověření, jestli podsíť již existuje pro interní nástroj pro vyrovnávání zatížení ve skupině prostředků.
Microsoft.Network/privatednszones/* Vyžaduje se, pokud používáte privátní zónu DNS v jiné skupině prostředků, jako je vlastní privateDNSZone.

Přístup k uzlu AKS

Ve výchozím nastavení není pro AKS vyžadován přístup k uzlům. Pokud se konkrétní komponenta využívá, je pro uzel potřeba následující přístup.

Access Důvod
kubelet Vyžaduje se, aby zákazník udělil MSI přístup k ACR.
http app routing Vyžaduje se pro oprávnění k zápisu na "náhodný název".aksapp.io.
container insights Vyžaduje se, aby zákazník udělil oprávnění k pracovnímu prostoru služby Log Analytics.

Kubernetes RBAC

Kubernetes RBAC poskytuje podrobné filtrování uživatelských akcí. Pomocí tohoto řídicího mechanismu:

  • Uživatelům nebo skupinám uživatelů přiřadíte oprávnění k vytváření a úpravám prostředků nebo zobrazení protokolů ze spouštění úloh aplikací.
  • Oprávnění můžete nastavit na jeden obor názvů nebo v celém clusteru AKS.
  • Vytvoříte role pro definování oprávnění a pak tyto role přiřadíte uživatelům s vazbami rolí.

Další informace najdete v tématu Použití autorizace RBAC Kubernetes.

Role a role clusteru

Role

Před přiřazením oprávnění uživatelům pomocí RBAC Kubernetes definujete uživatelská oprávnění jako roli. Udělte oprávnění v rámci oboru názvů pomocí rolí.

Poznámka

Role Kubernetes udělují oprávnění; neodmítají oprávnění.

Pokud chcete udělit oprávnění v celém clusteru nebo prostředkům clusteru mimo daný obor názvů, můžete místo toho použít role clusteru.

Role clusteru

Role clusteru uděluje a používá oprávnění pro prostředky v celém clusteru, nikoli na konkrétní obor názvů.

Vazby rolí a clusterRoleBindings

Jakmile definujete role pro udělení oprávnění k prostředkům, přiřadíte tato oprávnění RBAC Kubernetes pomocí roleBinding. Pokud se váš cluster AKS integruje s Azure Active Directory (Azure AD), udělují vazby rolí uživatelům Azure AD oprávnění k provádění akcí v rámci clusteru. Podívejte se, jak řídit přístup k prostředkům clusteru pomocí řízení přístupu na základě role Kubernetes a Azure Active Directory identit.

Vazby rolí

Přiřaďte role uživatelům pro daný obor názvů pomocí vazby rolí. Pomocí roleBindings můžete logicky oddělit jeden cluster AKS, který uživatelům umožňuje přístup k prostředkům aplikace pouze v přiřazeném oboru názvů.

K vytvoření vazby rolí v celém clusteru nebo k prostředkům clusteru mimo daný obor názvů místo toho použijete ClusterRoleBindings.

Vazby rolí clusteru

Při použití ClusterRoleBinding vytvoříte vazbu rolí na uživatele a použijete je pro prostředky v celém clusteru, nikoli na konkrétní obor názvů. Tento přístup umožňuje správcům nebo technikům podpory udělit přístup ke všem prostředkům v clusteru AKS.

Poznámka

Microsoft/AKS provádí všechny akce clusteru se souhlasem uživatele v rámci předdefinované role aks-service Kubernetes a integrované vazby aks-service-rolebindingrolí .

Tato role umožňuje AKS řešit a diagnostikovat problémy s clustery, ale nemůže upravovat oprávnění ani vytvářet role nebo vazby rolí ani jiné akce s vysokými oprávněními. Přístup k roli je povolený jenom v rámci aktivních lístků podpory s přístupem za běhu (JIT). Přečtěte si další informace o zásadách podpory AKS.

Účty služby Kubernetes

Účty služeb jsou jedním z primárních typů uživatelů v Kubernetes. Rozhraní API Kubernetes uchovává a spravuje účty služeb. Přihlašovací údaje účtu služby se ukládají jako tajné kódy Kubernetes, což umožňuje jejich používání autorizovanými pody ke komunikaci se serverem API. Většina požadavků rozhraní API poskytuje ověřovací token pro účet služby nebo normální uživatelský účet.

Normální uživatelské účty umožňují tradiční přístup pro lidské správce nebo vývojáře, nejen služby a procesy. I když Kubernetes neposkytuje řešení pro správu identit pro ukládání běžných uživatelských účtů a hesel, můžete do Kubernetes integrovat externí řešení identit. V případě clusterů AKS je toto integrované řešení identit Azure AD.

Další informace o možnostech identit v Kubernetes najdete v tématu Ověřování Kubernetes.

Integrace Azure AD

Vylepšení zabezpečení clusteru AKS s využitím integrace Azure AD Azure AD je víceklientová cloudová adresářová služba a služba pro správu identit založená na desetiletích správy podnikových identit, která kombinuje základní adresářové služby, správu přístupu k aplikacím a ochranu identit. S Azure AD můžete integrovat místní identity do clusterů AKS a poskytnout tak jeden zdroj pro správu a zabezpečení účtů.

Azure Active Directory integration with AKS clusters

Pomocí clusterů AKS integrovaných v Azure AD můžete uživatelům nebo skupinám udělit přístup k prostředkům Kubernetes v rámci oboru názvů nebo napříč clusterem.

  1. Pokud chcete získat kubectl kontext konfigurace, spustí uživatel příkaz az aks get-credentials .
  2. Když uživatel komunikuje s clusterem kubectlAKS, zobrazí se mu výzva k přihlášení pomocí svých přihlašovacích údajů Azure AD.

Tento přístup poskytuje jeden zdroj pro správu uživatelských účtů a přihlašovací údaje k heslu. Uživatel má přístup pouze k prostředkům definovaným správcem clusteru.

Ověřování Azure AD se poskytuje clusterům AKS s openID Připojení. OpenID Připojení je vrstva identity založená na protokolu OAuth 2.0. Další informace o openID Připojení najdete v dokumentaci k open ID connect. V clusteru Kubernetes se k ověření ověřovacích tokenů používá ověřování tokenů Webhook . Ověřování tokenu Webhooku se konfiguruje a spravuje jako součást clusteru AKS.

Server Webhooku a rozhraní API

Webhook and API server authentication flow

Jak je znázorněno na obrázku výše, server rozhraní API volá server webhooku AKS a provede následující kroky:

  1. kubectl používá klientskou aplikaci Azure AD k přihlášení uživatelů pomocí toku udělení autorizace zařízení OAuth 2.0.
  2. Azure AD poskytuje access_token, id_token a refresh_token.
  3. Uživatel požádá kubectl o access_token od kubeconfig.
  4. kubectl odešle access_token na server ROZHRANÍ API.
  5. Server rozhraní API je nakonfigurovaný pro ověření serveru Auth WebHook.
  6. Server webhooku ověřování potvrdí platnost podpisu webového tokenu JSON kontrolou veřejného podpisového klíče Azure AD.
  7. Serverová aplikace používá uživatelské přihlašovací údaje k dotazování členství ve skupinách přihlášeného uživatele z ms Graph API.
  8. Na server ROZHRANÍ API se odešle odpověď s informacemi o uživateli, jako je deklarace hlavního názvu uživatele (UPN) přístupového tokenu a členství ve skupině uživatele na základě ID objektu.
  9. Rozhraní API provádí rozhodnutí o autorizaci na základě role nebo vazby rolí Kubernetes.
  10. Po autorizaci server rozhraní API vrátí odpověď na kubectl.
  11. kubectl poskytuje uživateli zpětnou vazbu.

Naučte se integrovat AKS se službou Azure AD s naším návodem k integraci Azure AD spravované službou AKS.

Řízení přístupu na základě role v Azure

Řízení přístupu na základě role v Azure (RBAC) je autorizační systém založený na azure Resource Manager, který poskytuje podrobnou správu přístupu k prostředkům Azure.

Systém RBAC Description
Kubernetes RBAC Navržený tak, aby pracoval na prostředcích Kubernetes v rámci clusteru AKS.
Azure RBAC Navržené tak, aby fungovaly na prostředcích v rámci předplatného Azure.

Pomocí Azure RBAC vytvoříte definici role , která popisuje oprávnění, která se mají použít. Potom přiřadíte uživateli nebo skupině tuto definici role prostřednictvím přiřazení role pro konkrétní obor. Oborem může být jednotlivý prostředek, skupina prostředků nebo v rámci předplatného.

Další informace najdete v tématu Co je řízení přístupu na základě role v Azure (Azure RBAC)?

K plnému provozu clusteru AKS jsou potřeba dvě úrovně přístupu:

Azure RBAC pro autorizaci přístupu k prostředku AKS

Pomocí Azure RBAC můžete uživatelům (nebo identitám) poskytnout podrobný přístup k prostředkům AKS v rámci jednoho nebo několika předplatných. K škálování a upgradu clusteru můžete například použít roli přispěvatele Azure Kubernetes Service. Mezitím má jiný uživatel s rolí správce clusteru Azure Kubernetes Service oprávnění pouze k vyžádání správce kubeconfig.

Případně můžete uživateli udělit obecnou roli Přispěvatel . S obecnou rolí Přispěvatel mohou uživatelé provádět výše uvedená oprávnění a všechny možné akce pro prostředek AKS s výjimkou oprávnění pro správu.

Pomocí Azure RBAC definujte přístup ke konfiguračnímu souboru Kubernetes v AKS.

Azure RBAC pro autorizaci Kubernetes

S integrací Azure RBAC bude AKS používat server webhooku autorizace Kubernetes, abyste mohli spravovat oprávnění a přiřazení prostředků clusteru Kubernetes integrované službou Azure AD pomocí definice role a přiřazení rolí Azure.

Azure RBAC for Kubernetes authorization flow

Jak je znázorněno na výše uvedeném diagramu, při použití integrace Azure RBAC budou všechny požadavky na rozhraní Kubernetes API sledovat stejný tok ověřování, jak je vysvětleno v části integrace Azure Active Directory.

Pokud identita, která vytváří požadavek, existuje v Azure AD, azure se seskupí s Kubernetes RBAC, aby žádost autorizovala. Pokud identita existuje mimo Azure AD (tj. účet služby Kubernetes), autorizace se odloží na normální RBAC Kubernetes.

V tomto scénáři použijete mechanismy a rozhraní API Azure RBAC k přiřazení předdefinovaných rolí uživatelů nebo vytváření vlastních rolí stejně jako u rolí Kubernetes.

Díky této funkci udělíte uživatelům nejen oprávnění k prostředku AKS napříč předplatnými, ale také nakonfigurujete roli a oprávnění pro každý z těchto clusterů, které řídí přístup k rozhraní KUBERNEtes API. Roli můžete například udělit Azure Kubernetes Service RBAC Reader v oboru předplatného. Příjemce role bude moct vypsat a získat všechny objekty Kubernetes ze všech clusterů bez jejich úprav.

Důležité

Před použitím této funkce musíte povolit Azure RBAC pro autorizaci Kubernetes. Další podrobnosti a podrobné pokyny najdete v našem průvodci používáním Azure RBAC pro autorizaci Kubernetes .

Vestavěné role

AKS poskytuje následující čtyři předdefinované role. Jsou podobné předdefinovaným rolím Kubernetes s několika rozdíly, jako je podpora CRD. Podívejte se na úplný seznam akcí povolených jednotlivými předdefinované role Azure.

Role Popis
Azure Kubernetes Service čtenář RBAC Umožňuje přístup jen pro čtení k zobrazení většiny objektů v oboru názvů.
Nepovoluje zobrazování rolí nebo vazeb rolí.
Nepovoluje prohlížení Secrets. Secrets Čtení obsahu umožňuje přístup k přihlašovacím ServiceAccount údajům v oboru názvů, což by umožnilo přístup k rozhraní API v ServiceAccount oboru názvů (forma eskalace oprávnění).
Azure Kubernetes Service zapisovač RBAC Umožňuje přístup pro čtení a zápis k většině objektů v oboru názvů.
Nepovoluje zobrazování nebo úpravy rolí ani vazeb rolí.
Umožňuje přístup k Secrets podům jako jakýkoli účet ServiceAccount v oboru názvů, takže ho můžete použít k získání úrovní přístupu rozhraní API libovolného účtu služby v oboru názvů.
Azure Kubernetes Service správce RBAC Umožňuje přístup správce, který má být udělen v rámci oboru názvů.
Umožňuje přístup pro čtení a zápis k většině prostředků v oboru názvů (nebo oboru clusteru), včetně možnosti vytvářet role a vazby rolí v rámci oboru názvů.
Nepovoluje přístup k zápisu do kvóty prostředků ani k samotnému oboru názvů.
Azure Kubernetes Service správce clusteru RBAC Umožňuje superuživatelům přístup k provedení jakékoli akce u libovolného prostředku.
Poskytuje úplnou kontrolu nad všemi prostředky v clusteru a ve všech oborech názvů.

Souhrn

Podívejte se na tabulku s rychlým souhrnem toho, jak se uživatelé můžou ověřovat v Kubernetes, když je povolená integrace Azure AD. Ve všech případech je posloupnost příkazů uživatele následující:

  1. Spusťte az login ověření v Azure.
  2. Spusťte az aks get-credentials stažení přihlašovacích údajů pro cluster do .kube/config.
  3. Spusťte kubectl příkazy.
    • První příkaz může aktivovat ověřování na základě prohlížeče pro ověření v clusteru, jak je popsáno v následující tabulce.

V Azure Portal najdete:

  • Na kartě Access Control se zobrazí udělení role (udělení role Azure RBAC) uvedené ve druhém sloupci.
  • Skupina Správce clusteru Azure AD se zobrazí na kartě Konfigurace .
    • Zjistil se také název --aad-admin-group-object-ids parametru v Azure CLI.
Description Požadováno udělení role Skupiny pro správu clusteru Azure AD Kdy je použít
Starší přihlášení správce pomocí klientského certifikátu Role správce Azure Kubernetes Tato role umožňuje az aks get-credentials použití s příznakem --admin , který stáhne starší certifikát správce clusteru (mimo Azure AD) do uživatele .kube/config. Toto je jediný účel role správce Azure Kubernetes. Není k dispozici Pokud jste trvale blokovaní tím, že nemáte přístup k platné skupině Azure AD s přístupem k vašemu clusteru.
Azure AD s ručními vazbami rolí (clusteru) Role uživatele Azure Kubernetes Role Uživatel umožňuje az aks get-credentials používat bez příznaku --admin . (Toto je jediný účel role uživatele Azure Kubernetes.) Výsledkem je stažení prázdné položky v .kube/configclusteru s podporou Azure AD, který při prvním použití kubectlaktivuje ověřování založené na prohlížeči. Uživatel není v žádné z těchto skupin. Vzhledem k tomu, že uživatel není v žádné skupině pro správu clusteru, budou svá práva řízena výhradně všemi skupinami rolí nebo clusterrolebindingy, které nastavili správci clusteru. Skupina (cluster)RoleBindings nominuje uživatele Azure AD nebo skupiny Azure AD jako jejich subjects. Pokud nebyly tyto vazby nastaveny, uživatel nebude moct vykřičit žádné kubectl příkazy. Pokud chcete jemně odstupňované řízení přístupu a nepoužíváte Azure RBAC pro autorizaci Kubernetes. Všimněte si, že uživatel, který nastaví vazby, se musí přihlásit pomocí jedné z dalších metod uvedených v této tabulce.
Azure AD podle člena skupiny pro správu Stejný jako výše uvedený Uživatel je členem jedné ze skupin uvedených tady. AKS automaticky vygeneruje clusterRoleBinding, který sváže všechny uvedené skupiny s cluster-admin rolí Kubernetes. Uživatelé v těchto skupinách tak můžou spouštět všechny kubectl příkazy jako cluster-admin. Pokud chcete uživatelům pohodlně udělit úplná práva správce a nepoužíváte Azure RBAC pro autorizaci Kubernetes.
Azure AD s Azure RBAC pro autorizaci Kubernetes Dvě role:
Nejprve role uživatele Azure Kubernetes (jak je uvedeno výše).
Za druhé, jeden z "Azure Kubernetes Service RBAC..." výše uvedené role nebo vlastní alternativa.
Pole Role správce na kartě Konfigurace není relevantní, pokud je povolená služba Azure RBAC pro autorizaci Kubernetes. K autorizaci Kubernetes používáte Azure RBAC. Tento přístup poskytuje jemně odstupňované řízení, aniž byste museli nastavit vazby rolí nebo clusterRoleBindings.

Další kroky

Další informace o základních konceptech Kubernetes a AKS najdete v následujících článcích: