Správa identit a přístupu pro scénář služby Azure Kubernetes (AKS) na podnikové úrovniIdentity and access management for Azure Kubernetes Service (AKS) enterprise-scale scenario

Vaše organizace nebo podnik potřebuje navrhnout vhodná nastavení zabezpečení, aby splňovala požadavky.Your organization or enterprise needs to design suitable security settings to meet their requirements. Správa identit a přístupu pokrývá několik aspektů, jako jsou identity clusteru, identity úloh a přístup k operátoru.Identity and access management covers multiple aspects like cluster identities, workload identities, and operator access.

Na co dát pozor při navrhováníDesign considerations

  • Rozhodněte, jaká identita clusteru se používá (spravovaná identita nebo instanční objekt).Decide what cluster identity is being used (managed identity or service principal).
  • Rozhodněte se, jak ověřit přístup k clusteru (na základě certifikátu nebo Azure Active Directory).Decide how to authenticate cluster access (certificate-based or Azure Active Directory).
  • Určete cluster s více architekturami a nastavte řízení přístupu na základě role (RBAC) v Kubernetes.Decide on a multitenancy cluster and how to set up role-based access control (RBAC) in Kubernetes.
    • Rozhodněte se o metodě pro izolaci (obor názvů, síťové zásady, výpočetní prostředky (fond uzlů) nebo cluster).Decide on a method for isolation (namespace, network policy, compute (node pool), or cluster).
    • Rozhodněte se o rolích RBAC Kubernetes a přidělení výpočtů na tým aplikací pro izolaci.Decide about Kubernetes RBAC roles and compute allocation per application team for isolation.
    • Rozhodněte, jestli můžou týmy aplikace číst další úlohy ve svém clusteru nebo v jiných clusterech.Decide whether application teams can read other workloads in their cluster or in other clusters.
  • Rozhodněte se o vlastních rolích služby Azure RBAC pro zónu vykládku AKS.Decide about custom Azure RBAC roles for your AKS landing zone.
    • Rozhodněte, jaká oprávnění jsou potřebná k tomu, aby role SRE (site respolehlivost) mohla spravovat nebo řešit potíže s celým clusterem.Decide what permissions are needed for the site reliability engineering (SRE) role to administer/troubleshoot the whole cluster.
    • Rozhodněte, jaká oprávnění jsou potřebná pro SecOps.Decide what permissions are needed for SecOps.
    • Rozhodněte, jaká oprávnění jsou potřebná pro vlastníka cílové zóny.Decide what permissions are needed for the landing zone owner.
    • Rozhodněte, jaká oprávnění jsou potřebná k tomu, aby týmy aplikace nasadily do clusteru.Decide what permissions are needed for the application teams to deploy into the cluster.
  • Rozhodněte, jestli potřebujete identity úlohy (identity pod Azure AD pod).Decide whether you need workload identities (Azure AD pod identities). Můžou být potřeba pro služby Azure, jako je Azure Key Vault integrace, Azure Cosmos DB a dalších.They might be needed for Azure services like Azure Key Vault integration, Azure Cosmos DB, and others.

Doporučení pro návrhDesign recommendations

  • Identity clusteruCluster identities
    • Použijte pro svůj cluster AKS vlastní spravovanou identitu .Use your own managed identity for your AKS cluster.
    • Definujte vlastní role Azure RBAC pro zónu pro vykládku AKS, abyste zjednodušili správu požadovaných oprávnění pro identitu spravovanou clusterem.Define custom Azure RBAC roles for your AKS landing zone to simplify the management of required permissions for cluster-managed identity.
  • Přístup clusteruCluster access
    • Pomocí Kubernetes RBAC s Azure AD omezte oprávnění a minimalizujte udělení oprávnění správce, aby se chránila konfigurace a přístup k tajným klíčům.Use Kubernetes RBAC with Azure AD to limit privileges and minimize granting administrator privileges to protect configuration and secrets access.
    • Pomocí integrace služby Azure AD spravované v AKS můžete používat Azure AD pro ověřování a přístup k operátorovi a vývojářům.Use AKS-managed Azure AD integration to use Azure AD for authentication and operator and developer access.
  • Definujte požadované role RBAC a vazby rolí v Kubernetes.Define required RBAC roles and role bindings in Kubernetes.