Aracılığıyla paylaş


Azure rol tabanlı erişim denetimi ile Azure Kubernetes Fleet Manager kaynaklarına erişim izni verme

Azure rol tabanlı erişim denetimi (Azure RBAC), Azure kaynaklarına ayrıntılı erişim yönetimi sağlayan, Azure Resource Manager üzerinde oluşturulmuş bir yetkilendirme sistemidir.

Bu makalede, Azure Kubernetes Fleet Manager (Kubernetes Fleet) kaynaklarına erişmek için kullanabileceğiniz çeşitli yerleşik Azure RBAC rollerine genel bir bakış sağlanır.

Kontrol düzlemi

Bu rol, Azure Resource Manager (ARM) Filo kaynaklarına ve alt kaynaklarına erişim verir ve hub kümesi olan ve olmayan kubernetes Fleet kaynağı için geçerlidir.

Rol adı Açıklama Kullanım
Azure Kubernetes Fleet Manager Katkıda Bulunanı Bu rol, Azure Kubernetes Fleet Manager tarafından sağlanan filolar, filo üyeleri, filo güncelleştirme stratejileri, filo güncelleştirme çalıştırmaları ve daha fazlası dahil olmak üzere Azure kaynaklarına okuma ve yazma erişimi verir. Bu rolü yalnızca Kubernetes Fleet kaynaklarına ve alt kaynaklarına uygulanan Katkıda Bulunan izinleri vermek için kullanabilirsiniz. Örneğin, bu rol Fleet kaynaklarını tanımlama ve bakımını yapmakla görevli bir Azure yöneticisine verilebilir.

Veri düzlemi

Bu roller Fleet hub Kubernetes nesnelerine erişim verir ve bu nedenle yalnızca hub kümesine sahip Kubernetes Fleet kaynakları için geçerlidir.

Rol atama kapsamına ekleyerek /namespace/<namespace> veri düzlemi rollerini Fleet hub kümesi kapsamında veya tek bir Kubernetes ad alanı kapsamında atayabilirsiniz.

Rol adı Açıklama Kullanım
Azure Kubernetes Fleet Manager RBAC Okuyucusu Filo tarafından yönetilen hub kümesindeki bir ad alanı içindeki kubernetes kaynaklarının çoğuna salt okunur erişim verir. Rolleri veya rol bağlamalarını görüntülemeye izin vermez. Gizli Dizilerin içeriğini okumak ad alanında herhangi bir API erişimine ServiceAccount izin veren (ayrıcalık yükseltme biçimi) kimlik bilgilerine ServiceAccount erişim sağladığından bu rol Gizli Dizileri görüntülemeye izin vermez. Bu rolün küme kapsamında uygulanması tüm ad alanlarına erişim sağlar. Ad alanı veya küme kapsamındaki belirli duyarsız Kubernetes nesnelerini okuma yeteneği vermek için bu rolü kullanabilirsiniz. Örneğin, bu rolü gözden geçirme amacıyla vekleyebilirsiniz.
Azure Kubernetes Fleet Manager RBAC Yazıcısı Filo tarafından yönetilen hub kümesindeki bir ad alanı içindeki kubernetes kaynaklarının çoğuna okuma ve yazma erişimi verir. Bu rol, rollerin veya rol bağlamalarının görüntülenmesine veya değiştirilmesine izin vermez. Ancak bu rol, ad alanında gizli dizilere herhangi bir ServiceAccount şekilde erişmeye izin verir, bu nedenle ad alanında herhangi birinin ServiceAccount API erişim düzeylerini elde etmek için kullanılabilir. Bu rolün küme kapsamında uygulanması tüm ad alanlarına erişim sağlar. Bu rolü, seçilen Kubernetes nesnelerini ad alanında veya küme kapsamında yazma yeteneği vermek için kullanabilirsiniz. Örneğin, belirli bir ad alanında yer alan nesneden sorumlu bir proje ekibi tarafından kullanılmak üzere.
Azure Kubernetes Fleet Manager RBAC Yöneticisi Filo tarafından yönetilen hub kümesindeki bir ad alanı içindeki Kubernetes kaynaklarına okuma ve yazma erişimi verir. Nesne ve ad alanı nesnesinin kendisi dışında ResourceQuota , ad alanı içindeki çoğu nesne üzerinde yazma izinleri sağlar. Bu rolün küme kapsamında uygulanması tüm ad alanlarına erişim sağlar. Ad alanı veya küme kapsamında seçili Kubernetes nesnelerini (roller ve rol bağlamaları dahil) yönetme yeteneği vermek için bu rolü kullanabilirsiniz. Örneğin, belirli bir ad alanında yer alan nesneden sorumlu bir proje ekibi tarafından kullanılmak üzere.
Azure Kubernetes Fleet Manager RBAC Kümesi Yöneticisi Filo tarafından yönetilen hub kümesindeki tüm Kubernetes kaynaklarına okuma/yazma erişimi verir. Ad alanı veya küme kapsamındaki tüm Kubernetes nesnelerine (CRD'ler dahil) erişim vermek için bu rolü kullanabilirsiniz.

Örnek rol atamaları

Azure CLI'yi kullanarak Azure RBAC rolleri vekleyebilirsiniz. Örneğin, Kubernetes Fleet hub kümesi kapsamında bir rol ataması oluşturmak için:

IDENTITY=$(az ad signed-in-user show --output tsv --query id)
FLEET_ID=$(az fleet show --resource-group $GROUP --name $FLEET --output tsv --query id)

az role assignment create --role 'Azure Kubernetes Fleet Manager RBAC Reader' --assignee "$IDENTITY" --scope "$FLEET_ID"

Rol atamalarını tek bir Kubernetes ad alanına da kapsamlandırabilirsiniz. Örneğin, Kubernetes Fleet hub'ına ait varsayılan Kubernetes ad alanı için rol ataması oluşturmak için:

IDENTITY=$(az ad signed-in-user show --output tsv --query id)
FLEET_ID=$(az fleet show --resource-group $GROUP --name $FLEET --output tsv --query id)

az role assignment create --role 'Azure Kubernetes Fleet Manager RBAC Reader' --assignee "$IDENTITY" --scope "$FLEET_ID/namespaces/default"