Možnosti identit a přístupu pro Azure Kubernetes Service (AKS)
V různých způsobech můžete ověřovat, autorizovat, zabezpečovat a řídit přístup k Kubernetes clusterům.
- Pomocí Kubernetes řízení přístupu založeného na rolích (Kubernetes RBAC) můžete uživatelům, skupinám a účtům služeb udělit přístup pouze k potřebným prostředkům.
- pomocí služby azure Kubernetes Service (AKS) můžete dál zvyšovat strukturu zabezpečení a oprávnění prostřednictvím Azure Active Directory a Azure RBAC.
Kubernetes RBAC a AKS vám pomůžou zabezpečit přístup ke clusteru a poskytovat jenom minimální požadovaná oprávnění vývojářům a operátorům.
V tomto článku se seznámíte se základními koncepcemi, které vám pomůžou ověřit a přiřadit oprávnění v AKS.
Oprávnění služby AKS
Při vytváření clusteru AKS generuje nebo upravuje prostředky, které potřebuje (například virtuální počítače a síťové karty) k vytvoření a spuštění clusteru jménem uživatele. Tato identita se liší od oprávnění identity clusteru, které se vytváří při vytváření clusteru.
Identita, která vytváří a pracuje s oprávněními clusteru
Identita, která vytváří a provozuje cluster, vyžaduje následující oprávnění.
| Oprávnění | Důvod |
|---|---|
Microsoft.Compute/diskEncryptionSets/read |
Vyžaduje se pro čtení ID sady šifrování disku. |
Microsoft.Compute/proximityPlacementGroups/write |
Vyžaduje se pro aktualizaci skupin umístění blízkosti. |
Microsoft.Network/applicationGateways/read Microsoft.Network/applicationGateways/write Microsoft.Network/virtualNetworks/subnets/join/action |
Vyžaduje se ke konfiguraci aplikačních bran a připojení k podsíti. |
Microsoft.Network/virtualNetworks/subnets/join/action |
Vyžaduje se ke konfiguraci skupiny zabezpečení sítě pro podsíť při použití vlastní virtuální sítě. |
Microsoft.Network/publicIPAddresses/join/action Microsoft.Network/publicIPPrefixes/join/action |
Vyžaduje se ke konfiguraci odchozích veřejných IP adres na Standard Load Balancer. |
Microsoft.OperationalInsights/workspaces/sharedkeys/read Microsoft.OperationalInsights/workspaces/read Microsoft.OperationsManagement/solutions/write Microsoft.OperationsManagement/solutions/read Microsoft.ManagedIdentity/userAssignedIdentities/assign/action |
Vyžaduje se k vytváření a aktualizaci Log Analyticsch pracovních prostorů a monitorování Azure pro kontejnery. |
Oprávnění pro identitu clusteru AKS
Identitu clusteru AKS, která je vytvořená a přidružená k clusteru AKS, používá následující oprávnění. Každé oprávnění se používá z následujících důvodů:
| Oprávnění | Důvod |
|---|---|
Microsoft.ContainerService/managedClusters/* |
Vyžaduje se pro vytváření uživatelů a provoz clusteru. |
Microsoft.Network/loadBalancers/delete Microsoft.Network/loadBalancers/read Microsoft.Network/loadBalancers/write |
Vyžaduje se ke konfiguraci nástroje pro vyrovnávání zatížení pro službu Vyrovnávání zatížení. |
Microsoft.Network/publicIPAddresses/delete Microsoft.Network/publicIPAddresses/read Microsoft.Network/publicIPAddresses/write |
Je nutné najít a nakonfigurovat veřejné IP adresy pro službu Vyrovnávání zatížení. |
Microsoft.Network/publicIPAddresses/join/action |
Vyžaduje se pro konfiguraci veřejných IP adres pro službu Vyrovnávání zatížení. |
Microsoft.Network/networkSecurityGroups/read Microsoft.Network/networkSecurityGroups/write |
Je nutné vytvořit nebo odstranit pravidla zabezpečení pro službu Vyrovnávání zatížení. |
Microsoft.Compute/disks/delete Microsoft.Compute/disks/read Microsoft.Compute/disks/write Microsoft.Compute/locations/DiskOperations/read |
Vyžaduje se ke konfiguraci AzureDisks. |
Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/listKeys/action Microsoft.Storage/storageAccounts/read Microsoft.Storage/storageAccounts/write Microsoft.Storage/operations/read |
Vyžaduje se ke konfiguraci účtů úložiště pro AzureFile nebo AzureDisk. |
Microsoft.Network/routeTables/read Microsoft.Network/routeTables/routes/delete Microsoft.Network/routeTables/routes/read Microsoft.Network/routeTables/routes/write Microsoft.Network/routeTables/write |
Vyžaduje se ke konfiguraci směrovacích tabulek a tras pro uzly. |
Microsoft.Compute/virtualMachines/read |
Vyžaduje se k vyhledání informací pro virtuální počítače v VMAS, jako jsou zóny, doména selhání, velikost a datové disky. |
Microsoft.Compute/virtualMachines/write |
Vyžaduje se k připojení AzureDisks k virtuálnímu počítači v VMAS. |
Microsoft.Compute/virtualMachineScaleSets/read Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read Microsoft.Compute/virtualMachineScaleSets/virtualmachines/instanceView/read |
Vyžaduje se k vyhledání informací o virtuálních počítačích v sadě škálování virtuálních počítačů, jako jsou zóny, doména selhání, velikost a datové disky. |
Microsoft.Network/networkInterfaces/write |
Vyžadováno pro přidání virtuálního počítače do VMAS do fondu adres back-endu nástroje pro vyrovnávání zatížení. |
Microsoft.Compute/virtualMachineScaleSets/write |
Vyžaduje se pro přidání škály virtuálních počítačů do back-endového fondu adres služby Load Balancer a navýšení kapacity uzlů v sadě škálování virtuálního počítače. |
Microsoft.Compute/virtualMachineScaleSets/virtualmachines/write |
Vyžaduje se pro připojení AzureDisks a přidání virtuálního počítače ze sady škálování virtuálního počítače do nástroje pro vyrovnávání zatížení. |
Microsoft.Network/networkInterfaces/read |
Vyžadováno pro hledání interních IP adres a back-endové fondy adres pro virtuální počítače v VMAS. |
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/networkInterfaces/read |
Vyžadováno pro hledání interních IP adres a back-endové fondy adres pro virtuální počítač v sadě škálování virtuálního počítače. |
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/networkInterfaces/ipconfigurations/publicipaddresses/read |
Vyžaduje se najít veřejné IP adresy pro virtuální počítač v sadě škálování virtuálního počítače. |
Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnets/read |
Vyžaduje se k ověření, jestli podsíť existuje pro interní nástroj pro vyrovnávání zatížení v jiné skupině prostředků. |
Microsoft.Compute/snapshots/delete Microsoft.Compute/snapshots/read Microsoft.Compute/snapshots/write |
Vyžaduje se ke konfiguraci snímků pro AzureDisk. |
Microsoft.Compute/locations/vmSizes/read Microsoft.Compute/locations/operations/read |
Vyžadovaná k nalezení velikostí virtuálních počítačů pro hledání AzureDisk limitů svazků. |
Další oprávnění pro identitu clusteru
Při vytváření clusteru s konkrétními atributy budete pro identitu clusteru potřebovat následující dodatečná oprávnění. Vzhledem k tomu, že tato oprávnění nejsou přiřazena automaticky, musíte je po vytvoření přidat do identity clusteru.
| Oprávnění | Důvod |
|---|---|
Microsoft.Network/networkSecurityGroups/write Microsoft.Network/networkSecurityGroups/read |
Vyžaduje se, pokud používáte skupinu zabezpečení sítě v jiné skupině prostředků. Vyžaduje se ke konfiguraci pravidel zabezpečení pro službu Vyrovnávání zatížení. |
Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/subnets/join/action |
Vyžaduje se, pokud používáte podsíť v jiné skupině prostředků, jako je třeba vlastní virtuální síť. |
Microsoft.Network/routeTables/routes/read Microsoft.Network/routeTables/routes/write |
Vyžaduje se, pokud používáte podsíť přidruženou k tabulce směrování v jiné skupině prostředků, jako je například vlastní virtuální síť s vlastní směrovací tabulkou. Vyžaduje se, aby se ověřilo, jestli pro podsíť v jiné skupině prostředků už existuje podsíť. |
Microsoft.Network/virtualNetworks/subnets/read |
Vyžaduje se, pokud používáte interní nástroj pro vyrovnávání zatížení v jiné skupině prostředků. Vyžaduje se, aby se ověřilo, jestli už podsíť pro interní nástroj pro vyrovnávání zatížení ve skupině prostředků existuje. |
Microsoft.Network/privatednszones/* |
Vyžaduje se, pokud používáte privátní zónu DNS v jiné skupině prostředků, jako je třeba vlastní privateDNSZone. |
Přístup k uzlu AKS
Ve výchozím nastavení se pro AKS nevyžaduje přístup k uzlu. Je-li konkrétní komponenta využívána, je pro uzel vyžadován následující přístup.
| Access | Důvod |
|---|---|
kubelet |
Požadováno pro zákazníka, aby k ACR udělil přístup MSI. |
http app routing |
Vyžaduje se pro oprávnění k zápisu do náhodného Name". aksapp. IO. |
container insights |
Požadováno pro zákazníka, aby udělil oprávnění k pracovnímu prostoru Log Analytics. |
Kubernetes RBAC
Kubernetes RBAC poskytuje podrobné filtrování akcí uživatele. Pomocí tohoto mechanismu řízení:
- Uživatelům nebo skupinám uživatelů přiřadíte oprávnění k vytváření a úpravám prostředků nebo zobrazení protokolů ze spuštěných úloh aplikací.
- Můžete nastavit rozsah oprávnění na jeden obor názvů nebo v celém clusteru AKS.
- Vytvoříte role pro definování oprávnění a pak těmto rolím přiřadíte uživatelům s vazbami rolí.
Další informace najdete v tématu použití autorizace KUBERNETES RBAC.
Role a ClusterRoles
Role
Před přiřazením oprávnění uživatelům s Kubernetes RBAC budete definovat oprávnění uživatele jako roli. Udělení oprávnění v rámci oboru názvů pomocí rolí.
Poznámka
Role Kubernetes udělují oprávnění; neodepře oprávnění.
Pokud chcete udělit oprávnění napříč celým clusterem nebo prostředky clusteru mimo daný obor názvů, můžete místo toho použít ClusterRoles.
ClusterRoles
ClusterRole udělí a uplatňuje oprávnění pro prostředky v celém clusteru, nikoli na konkrétní obor názvů.
RoleBindings a ClusterRoleBindings
Jakmile budete mít definované role pro udělení oprávnění k prostředkům, přiřadíte jim oprávnění Kubernetes RBAC k RoleBinding. pokud se váš cluster AKS integruje s Azure Active Directory (Azure AD), RoleBindings udělí uživatelům Azure ad oprávnění k provádění akcí v rámci clusteru. podívejte se, jak v nástroji řídit přístup k prostředkům clusteru pomocí řízení přístupu na základě role Kubernetes a identit Azure Active Directory.
RoleBindings
Přiřaďte role uživatelům pro daný obor názvů pomocí RoleBindings. Pomocí RoleBindings můžete logicky oddělit jeden cluster AKS a povolit uživatelům přístup k prostředkům aplikace v jejich přiřazeném oboru názvů.
Chcete-li vytvořit vazby mezi rolemi v celém clusteru nebo prostředky clusteru mimo daný obor názvů, místo toho použijte ClusterRoleBindings.
Vazby rolí clusteru
S ClusterRoleBinding můžete navazovat role na uživatele a použít je na prostředky v celém clusteru, nikoli na konkrétní obor názvů. Tento přístup vám umožní udělit správcům nebo pracovníkům podpory přístup ke všem prostředkům v clusteru AKS.
Poznámka
Microsoft/AKS provádí jakékoli akce clusteru s uživatelským souhlasem v rámci předdefinované role Kubernetes aks-service a předdefinované vazby role aks-service-rolebinding .
Tato role umožňuje AKS řešit a diagnostikovat problémy s clustery, ale nemůže měnit oprávnění ani vytvářet role nebo vazby rolí ani jiné akce s vysokou úrovní oprávnění. Přístup k rolím je povolený jenom v aktivních lístkech podpory s přístupem JIT (just-in-time). Přečtěte si další informace o zásadách podpory AKS.
Účty služby Kubernetes
Účty služeb jsou jedním z hlavních typů uživatelů v Kubernetes. Rozhraní Kubernetes API uchovává a spravuje účty služeb. Přihlašovací údaje účtu služby se ukládají jako tajné kódy Kubernetes a umožňují jejich použití autorizovanými lusky ke komunikaci se serverem API. Většina požadavků rozhraní API poskytuje ověřovací token pro účet služby nebo běžný uživatelský účet.
Běžné uživatelské účty umožňují pružnější přístup pro lidské správce nebo vývojáře, ne jenom služby a procesy. I když Kubernetes neposkytuje řešení pro správu identit k ukládání běžných uživatelských účtů a hesel, můžete integrovat řešení externích identit do Kubernetes. V případě AKS clusterů je toto integrované řešení identit Azure AD.
Další informace o možnostech identity v Kubernetes najdete v tématu ověřování Kubernetes.
Integrace Azure AD
Zvyšte zabezpečení clusteru AKS pomocí integrace služby Azure AD. Služba Azure AD je postavená na základě počtu desetiletí Enterprise Identity Management, což je víceklientské cloudové služby pro správu identit, které spojují základní adresářové služby, správu přístupu k aplikacím a Identity Protection. Pomocí Azure AD můžete integrovat místní identity do clusterů AKS a poskytnout tak jeden zdroj pro správu a zabezpečení účtů.
S integrovanými clustery AKS Azure AD můžete uživatelům nebo skupinám udělit přístup k prostředkům Kubernetes v rámci oboru názvů nebo napříč clusterem.
- Pro získání
kubectlkontextu konfigurace spustí uživatel příkaz AZ AKS Get-Credentials . - Když uživatel komunikuje s clusterem AKS s
kubectl, zobrazí se jim výzva k přihlášení pomocí přihlašovacích údajů Azure AD.
Tento přístup poskytuje jeden zdroj pro správu uživatelských účtů a přihlašovací údaje k heslům. Uživatel má přístup pouze k prostředkům definovaným správcem clusteru.
ověřování Azure AD je k dispozici pro AKS clustery s OpenID Připojení. OpenID Připojení je vrstva identity postavená nad protokolem OAuth 2,0. další informace o OpenID Připojení najdete v dokumentaci k otevřenému ID Connect. V rámci clusteru Kubernetes se ověřování pomocí tokenu Webhooku používá k ověření ověřovacích tokenů. Ověřování tokenu Webhooku je nakonfigurované a spravované jako součást clusteru AKS.
Webhook a Server API
Jak je znázorněno na obrázku výše, Server rozhraní API volá server Webhooku AKS a provede následující kroky:
kubectlpoužívá klientskou aplikaci Azure AD k přihlašování uživatelů pomocí toku udělení autorizace zařízení OAuth 2,0.- Azure AD poskytuje access_token, id_token a refresh_token.
- Uživatel odešle požadavek na
kubectlaccess_token zkubeconfig. kubectlodešle access_token serveru rozhraní API.- Server rozhraní API je nakonfigurovaný se serverem Webhooku ověřování a provede ověření.
- Server Webhooku ověřování potvrdí, že je podpis JSON Web Token platný, kontrolou veřejného podpisového klíče Azure AD.
- serverová aplikace používá k dotazování členství přihlášeného uživatele ze služby MS Graph API uživateli zadané přihlašovací údaje.
- Do serveru rozhraní API se pošle odpověď s informacemi o uživateli, jako je například deklarace identity přístupového tokenu (UPN) hlavního názvu uživatele (UPN), a členství uživatele ve skupině na základě ID objektu.
- Rozhraní API provede rozhodnutí o autorizaci na základě role Kubernetes nebo RoleBinding.
- Po ověření Server API vrátí odpověď na
kubectl. kubectlposkytuje zpětnou vazbu uživateli.
Naučte se integrovat AKS s Azure AD s využitím našeho průvodce integrací Azure AD spravovaného AKS.
Řízení přístupu na základě role v Azure
Řízení přístupu na základě role (RBAC) v Azure je autorizační systém založený na Azure Resource Manager , který poskytuje jemně odstupňovanou správu prostředků Azure.
| Systém RBAC | Description |
|---|---|
| Kubernetes RBAC | Tato funkce je navržená pro práci na Kubernetesch prostředcích v rámci clusteru AKS. |
| Azure RBAC | Navrženo pro práci s prostředky v rámci vašeho předplatného Azure. |
Pomocí Azure RBAC můžete vytvořit definici role , která bude mít přehled o oprávněních, která se mají použít. Pak uživateli nebo skupině přiřadíte tuto definici role prostřednictvím přiřazení role pro konkrétní obor. Oborem může být individuální prostředek, skupina prostředků nebo celé předplatné.
Další informace najdete v tématu co je řízení přístupu na základě role Azure (Azure RBAC)?
Existují dvě úrovně přístupu, které jsou potřeba k plnému provozu clusteru AKS:
- Přístup k prostředku AKS ve vašem předplatném Azure.
- Řízení škálování nebo upgrade clusteru pomocí rozhraní API AKS.
- Vyžádání
kubeconfig.
- Přístup k rozhraní Kubernetes API. Tento přístup je řízený jedním z těchto:
Azure RBAC pro autorizaci přístupu k prostředku AKS
Pomocí služby Azure RBAC můžete uživatelům (nebo identitám) poskytnout podrobný přístup k AKS prostředkům v jednom nebo několika předplatných. Můžete například použít roli Přispěvatel služby Azure Kubernetes ke škálování a upgradu clusteru. Mezitím má jiný uživatel s rolí správce clusteru služby Azure Kubernetes oprávnění k vyžádání správce kubeconfig .
Případně můžete uživateli poskytnout roli obecného přispěvatele . Role obecného přispěvatele umožňuje uživatelům provádět výše uvedená oprávnění a každou akci u prostředku AKS, s výjimkou oprávnění ke správě.
Pomocí Azure RBAC definujte přístup ke konfiguračnímu souboru Kubernetes v AKS.
Azure RBAC pro autorizaci Kubernetes
S integrací Azure RBAC AKS použije server Webhooku Kubernetes pro autorizaci, abyste mohli spravovat oprávnění a přiřazení prostředků clusteru integrovaného s Azure AD pomocí definice role Azure a přiřazení rolí.
jak je znázorněno na výše uvedeném diagramu, při použití integrace Azure RBAC budou všechny požadavky na rozhraní API Kubernetes následovat po stejném toku ověřování, jak je vysvětleno v části věnované integraci Azure Active Directory.
Pokud identita, kterou tento požadavek provádí, existuje ve službě Azure AD, Azure provede tým se Kubernetes RBAC k autorizaci žádosti. Pokud identita existuje mimo Azure AD (tj. účet služby Kubernetes), autorizaci pozastaví normální Kubernetes RBAC.
V tomto scénáři použijete mechanismy a rozhraní API Azure RBAC k přiřazení předdefinovaných rolí uživatelům nebo k vytváření vlastních rolí, stejně jako byste s Kubernetes rolemi.
Pomocí této funkce neudělíte uživatelům oprávnění k AKS prostředku napříč předplatnými, ale zároveň nakonfigurujete roli a oprávnění pro všechny tyto clustery řídící přístup k rozhraní Kubernetes API. Můžete například udělit Azure Kubernetes Service RBAC Reader roli v oboru předplatného. Příjemce role bude moci vypsat a načíst všechny Kubernetes objekty ze všech clusterů bez změny.
Důležité
Před použitím této funkce je potřeba povolit Azure RBAC pro autorizaci Kubernetes. Pokud potřebujete další podrobnosti a podrobné pokyny, postupujte podle pokynů v tématu použití Azure RBAC pro Kubernetes autorizaci .
Vestavěné role
AKS poskytuje následující čtyři předdefinované role. Jsou podobné integrovaným rolím Kubernetes s několika rozdíly, jako je podpora CRDs. Podívejte se na úplný seznam akcí povolených jednotlivými integrovanými rolemi Azure.
| Role | Popis |
|---|---|
| Čtečka RBAC služby Azure Kubernetes | Povoluje přístup jen pro čtení k zobrazení většiny objektů v oboru názvů. Nepovoluje zobrazení rolí nebo vazeb rolí. Nepovoluje zobrazení Secrets . Čtení Secrets obsahu umožňuje přístup k ServiceAccount přihlašovacím údajům v oboru názvů, což by mohlo povolit přístup k rozhraní API jako jakékoli ServiceAccount v oboru názvů (formu eskalace oprávnění). |
| Zapisovač RBAC služby Azure Kubernetes | Povoluje přístup pro čtení a zápis většiny objektů v oboru názvů. Nepovoluje zobrazování a úpravy rolí nebo vazeb rolí. Umožňuje přístup k Secrets luskům a jejich spuštění jako libovolný ServiceAccount v oboru názvů, takže se dá použít k získání úrovní přístupu rozhraní API všech ServiceAccount v oboru názvů. |
| Správce RBAC služby Azure Kubernetes | Povoluje přístup správce, který má být udělen v rámci oboru názvů. Umožňuje přístup pro čtení a zápis většiny prostředků v oboru názvů (nebo oboru clusteru), včetně možnosti vytvářet role a vazby rolí v rámci oboru názvů. Nepovoluje přístup pro zápis k kvótě prostředků nebo samotnému oboru názvů. |
| Správce clusteru RBAC služby Azure Kubernetes | Umožňuje přístupu super uživatele k provedení jakékoli akce u libovolného prostředku. Poskytuje plnou kontrolu nad všemi prostředky v clusteru a ve všech oborech názvů. |
Souhrn
V tabulce najdete stručný přehled toho, jak se uživatelé můžou ověřit, aby se Kubernetesy, když je povolená integrace služby Azure AD. Ve všech případech je sekvence příkazů uživatele následující:
- Spuštěním
az loginse ověřte v Azure. - Spuštěním
az aks get-credentialsstáhněte přihlašovací údaje pro cluster do.kube/config. - Spusťte
kubectlpříkazy.- První příkaz může aktivovat ověřování na základě prohlížeče pro ověření v clusteru, jak je popsáno v následující tabulce.
V Azure Portal najdete:
- Udělení role (udělení role Azure RBAC) uvedené ve druhém sloupci se zobrazuje na kartě Access Control role.
- Skupina Azure AD Správce clusteru se zobrazí na kartě Konfigurace.
- Najdete ho také s názvem
--aad-admin-group-object-idsparametru v Azure CLI.
- Najdete ho také s názvem
| Description | Vyžaduje se udělení role. | Skupiny Azure AD pro správu clusteru | Kdy je použít |
|---|---|---|---|
| Starší verze přihlášení správce pomocí klientského certifikátu | Role správce Azure Kubernetes. Tato role umožňuje použití s příznakem , který stáhne starší verzi certifikátu clusteru az aks get-credentials --admin (mimo Azure AD) do uživatelského účtu .kube/config . To je jediný účel role správce Azure Kubernetes. |
Není k dispozici | Pokud jste trvale zablokovaní tím, že přístup k platné skupině Azure AD s přístupem k vašemu clusteru nebude mít. |
| Azure AD s ručními vazbami rolí (clusterů) | Role uživatele Azure Kubernetes. Role "Uživatel" umožňuje az aks get-credentials použití bez --admin příznaku . (Toto je jediný účel role uživatele Azure Kubernetes.) Výsledkem v clusteru s podporou Azure AD je stažení prázdné položky do , která aktivuje ověřování na základě prohlížeče, když ho poprvé .kube/config používá kubectl . |
Uživatel není v žádné z těchto skupin. Vzhledem k tomu, že uživatel není ve žádné skupině správců clusteru, budou jeho práva plně řízena libovolnými vazbami rolí nebo vazbami rolí clusteru, které nastavili správci clusteru. Vazby rolí (clusteru) nominují uživatele Azure AD nebo skupiny Azure AD jako své subjects . Pokud nebyly nastaveny žádné takové vazby, uživatel nebude moci spustit žádné kubectl příkazy. |
Pokud chcete jemně odlišené řízení přístupu a azure RBAC pro autorizaci Kubernetes používáte. Všimněte si, že uživatel, který nastaví vazby, se musí přihlásit pomocí jedné z dalších metod uvedených v této tabulce. |
| Azure AD podle člena skupiny pro správu | Stejný jako výše uvedený | Uživatel je členem jedné ze skupin uvedených tady. AKS automaticky vygeneruje vazby rolí clusteru, které vážou všechny uvedené skupiny na cluster-admin roli Kubernetes. Uživatelé v těchto skupinách tak mohou spouštět kubectl všechny příkazy jako cluster-admin . |
Pokud chcete uživatelům pohodlně udělit úplná práva správce a pro autorizaci Kubernetes azure RBAC používat nechcete. |
| Azure AD s Azure RBAC pro autorizaci Kubernetes | Dvě role: Nejprve role uživatele Azure Kubernetes (jak je uvedeno výše). Za druhé: jeden z Azure Kubernetes Service RBAC... role uvedené výše nebo vlastní alternativu. |
Pokud je povolené Azure RBAC pro autorizaci Kubernetes, pole rolí správce na kartě Konfigurace není relevantní. | Pro autorizaci Kubernetes používáte Azure RBAC. Tento přístup umožňuje jemně odsoučtení kontroly, aniž byste potřebovali nastavovat vazby rolí nebo vazby rolí clusteru. |
Další kroky
- Pokud chcete začít s Azure AD a Kubernetes RBAC, podívejte se na Azure Active Directory s AKS.
- Související osvědčené postupy najdete v tématu Osvědčené postupy pro ověřování a autorizaci v AKS.
- Pokud chcete začít s azure RBAC pro autorizaci Kubernetes, podívejte se na použití Azure RBAC k autorizaci přístupu v rámci clusteru Azure Kubernetes Service (AKS).
- Pokud chcete začít se zabezpečením
kubeconfigsouboru, podívejte se na informace v tématu Omezení přístupu ke konfiguračnímu souboru clusteru.
Další informace o základních konceptech Kubernetes a AKS najdete v následujících článcích: