Memberikan akses ke sumber daya Azure Kubernetes Fleet Manager dengan kontrol akses berbasis peran Azure
Kontrol akses berbasis peran Azure (Azure RBAC) adalah sistem otorisasi yang dibangun di Azure Resource Manager yang menyediakan manajemen akses terperinci ke sumber daya Azure.
Artikel ini memberikan gambaran umum tentang berbagai peran Azure RBAC bawaan yang dapat Anda gunakan untuk mengakses sumber daya Azure Kubernetes Fleet Manager (Kubernetes Fleet).
Sarana kontrol
Peran ini memberikan akses ke sumber daya dan sub sumber daya Armada Azure Resource Manager (ARM), dan berlaku baik sumber daya Armada Kubernetes dengan dan tanpa kluster hub.
| Nama peran | Deskripsi | Penggunaan |
|---|---|---|
| Kontributor Manajer Armada Azure Kubernetes | Peran ini memberikan akses baca dan tulis ke sumber daya Azure yang disediakan oleh Azure Kubernetes Fleet Manager, termasuk armada, anggota armada, strategi pembaruan armada, eksekusi pembaruan armada, dan banyak lagi. | Anda dapat menggunakan peran ini untuk memberikan izin Kontributor yang hanya berlaku untuk sumber daya dan sub sumber daya Armada Kubernetes. Misalnya, peran ini dapat diberikan kepada administrator Azure yang ditugaskan untuk menentukan dan memelihara sumber daya Armada. |
Pesawat data
Peran ini memberikan akses ke objek Kubernetes hub Armada, dan oleh karena itu hanya berlaku untuk sumber daya Armada Kubernetes dengan kluster hub.
Anda dapat menetapkan peran bidang data di cakupan kluster hub Armada, atau pada cakupan namespace Layanan Kubernetes individual dengan menambahkan /namespace/<namespace> ke cakupan penetapan peran.
| Nama peran | Deskripsi | Penggunaan |
|---|---|---|
| Pembaca RBAC Manajer Armada Azure Kubernetes | Memberikan akses baca-saja ke sebagian besar sumber daya Kubernetes dalam namespace layanan di kluster hub yang dikelola armada. Hal ini tidak mengizinkan untuk menampilkan peran atau pengikatan peran. Peran ini tidak mengizinkan melihat Rahasia, karena membaca konten Rahasia memungkinkan akses ke ServiceAccount kredensial di namespace layanan, yang akan memungkinkan akses API sebagai apa pun ServiceAccount di namespace layanan (bentuk eskalasi hak istimewa). Menerapkan peran ini pada cakupan kluster memberikan akses di semua namespace layanan. |
Anda dapat menggunakan peran ini untuk memberikan kemampuan untuk membaca objek Kubernetes nonsensitif yang dipilih di namespace layanan atau cakupan kluster. Misalnya, Anda dapat memberikan peran ini untuk tujuan peninjauan. |
| Penulis RBAC Manajer Armada Azure Kubernetes | Memberikan akses baca dan tulis ke sebagian besar sumber daya Kubernetes dalam namespace layanan di kluster hub yang dikelola armada. Peran ini tidak memungkinkan melihat atau memodifikasi peran atau pengikatan peran. Namun, peran ini memungkinkan akses Rahasia seperti apa pun ServiceAccount di namespace layanan, sehingga dapat digunakan untuk mendapatkan tingkat akses API apa pun ServiceAccount di namespace layanan. Menerapkan peran ini pada cakupan kluster memberikan akses di semua namespace layanan. |
Anda dapat menggunakan peran ini untuk memberikan kemampuan untuk menulis objek Kubernetes yang dipilih di namespace layanan atau cakupan kluster. Misalnya, untuk digunakan oleh tim proyek yang bertanggung jawab atas objek di namespace layanan tertentu. |
| Admin RBAC Manajer Armada Azure Kubernetes | Memberikan akses baca dan tulis ke sumber daya Kubernetes dalam namespace di kluster hub yang dikelola armada. Menyediakan izin tulis pada sebagian besar objek dalam namespace, kecuali untuk ResourceQuota objek dan objek namespace itu sendiri. Menerapkan peran ini pada cakupan kluster memberikan akses di semua namespace layanan. |
Anda dapat menggunakan peran ini untuk memberikan kemampuan untuk mengelola objek Kubernetes yang dipilih (termasuk peran dan pengikatan peran) di namespace layanan atau cakupan kluster. Misalnya, untuk digunakan oleh tim proyek yang bertanggung jawab atas objek di namespace layanan tertentu. |
| Admin Kluster RBAC Manajer Armada Azure Kubernetes | Memberikan akses baca/tulis ke semua sumber daya Kubernetes di kluster hub yang dikelola armada. | Anda dapat menggunakan peran ini untuk memberikan akses ke semua objek Kubernetes (termasuk CRD) di namespace layanan atau cakupan kluster. |
Contoh penetapan peran
Anda dapat memberikan peran Azure RBAC menggunakan Azure CLI. Misalnya, untuk membuat penetapan peran di cakupan kluster hub Armada Kubernetes:
IDENTITY=$(az ad signed-in-user show --output tsv --query id)
FLEET_ID=$(az fleet show --resource-group $GROUP --name $FLEET --output tsv --query id)
az role assignment create --role 'Azure Kubernetes Fleet Manager RBAC Reader' --assignee "$IDENTITY" --scope "$FLEET_ID"
Anda juga dapat mencakup penetapan peran ke namespace Layanan Kubernetes individual. Misalnya, untuk membuat penetapan peran untuk namespace layanan Kubernetes Fleet hub default Kubernetes:
IDENTITY=$(az ad signed-in-user show --output tsv --query id)
FLEET_ID=$(az fleet show --resource-group $GROUP --name $FLEET --output tsv --query id)
az role assignment create --role 'Azure Kubernetes Fleet Manager RBAC Reader' --assignee "$IDENTITY" --scope "$FLEET_ID/namespaces/default"
Azure Kubernetes Service