Gerenciamento de identidade e acesso para o cenário de escala empresarial do AKS (serviço de kubernetes do Azure)Identity and access management for Azure Kubernetes Service (AKS) enterprise-scale scenario

Sua organização ou empresa precisa criar configurações de segurança adequadas para atender às suas necessidades.Your organization or enterprise needs to design suitable security settings to meet their requirements. O gerenciamento de identidade e acesso abrange vários aspectos, como identidades de cluster, identidades de carga de trabalho e acesso de operador.Identity and access management covers multiple aspects like cluster identities, workload identities, and operator access.

Considerações sobre o designDesign considerations

  • Decida qual identidade de cluster está sendo usada (identidade gerenciada ou entidade de serviço).Decide what cluster identity is being used (managed identity or service principal).
  • Decida como autenticar o acesso ao cluster (com base em certificado ou Azure Active Directory).Decide how to authenticate cluster access (certificate-based or Azure Active Directory).
  • Decida em um cluster multilocação e como configurar o RBAC (controle de acesso baseado em função) no kubernetes.Decide on a multitenancy cluster and how to set up role-based access control (RBAC) in Kubernetes.
    • Decida sobre um método de isolamento (namespace, política de rede, computação (pool de nós) ou cluster).Decide on a method for isolation (namespace, network policy, compute (node pool), or cluster).
    • Decida sobre as funções RBAC kubernetes e a alocação de computação por equipe de aplicativo para isolamento.Decide about Kubernetes RBAC roles and compute allocation per application team for isolation.
    • Decida se as equipes de aplicativos podem ler outras cargas de trabalho em seu cluster ou em outros clusters.Decide whether application teams can read other workloads in their cluster or in other clusters.
  • Decida sobre as funções personalizadas do RBAC do Azure para sua zona de aterrissagem AKs.Decide about custom Azure RBAC roles for your AKS landing zone.
    • Decida quais permissões são necessárias para a função de SRE (Engenharia de confiabilidade do site) para administrar/solucionar problemas de todo o cluster.Decide what permissions are needed for the site reliability engineering (SRE) role to administer/troubleshoot the whole cluster.
    • Decida quais permissões são necessárias para SecOps.Decide what permissions are needed for SecOps.
    • Decida quais permissões são necessárias para o proprietário da zona de aterrissagem.Decide what permissions are needed for the landing zone owner.
    • Decida quais permissões são necessárias para que as equipes de aplicativo implantem no cluster.Decide what permissions are needed for the application teams to deploy into the cluster.
  • Decida se você precisa de identidades de carga de trabalho (identidades de Pod do Azure AD).Decide whether you need workload identities (Azure AD pod identities). Eles podem ser necessários para serviços do Azure, como integração Azure Key Vault, Azure Cosmos DB e outros.They might be needed for Azure services like Azure Key Vault integration, Azure Cosmos DB, and others.

Recomendações sobre designDesign recommendations

  • Identidades de clusterCluster identities
    • Use sua própria identidade gerenciada para o cluster AKs.Use your own managed identity for your AKS cluster.
    • Defina funções personalizadas do Azure RBAC para sua zona de aterrissagem do AKS para simplificar o gerenciamento de permissões necessárias para identidade gerenciada por cluster.Define custom Azure RBAC roles for your AKS landing zone to simplify the management of required permissions for cluster-managed identity.
  • Acesso ao clusterCluster access
    • Use o RBAC kubernetes com o Azure AD para limitar privilégios e minimizar a concessão de privilégios de administrador para proteger o acesso à configuração e aos segredos.Use Kubernetes RBAC with Azure AD to limit privileges and minimize granting administrator privileges to protect configuration and secrets access.
    • Use a integração do Azure ad gerenciada pelo AKs para usar o Azure ad para autenticação e acesso de operador e de desenvolvedor.Use AKS-managed Azure AD integration to use Azure AD for authentication and operator and developer access.
  • Defina as funções RBAC necessárias e as associações de função em kubernetes.Define required RBAC roles and role bindings in Kubernetes.