Usar o controle de acesso baseado em função do Azure para Autorização do Kubernetes

  • Artigo

Este artigo aborda como usar o RBAC do Azure para Autorização do Kubernetes, que permite o gerenciamento unificado e o controle de acesso entre recursos do Azure, AKS e recursos do Kubernetes. Para obter mais informações, consulte RBAC do Azure para Autorização do Kubernetes.

Nota

Ao usar a autenticação integrada entre o ID do Microsoft Entra e o AKS, você pode usar usuários, grupos ou entidades de serviço do Microsoft Entra como sujeitos no controle de acesso baseado em função do Kubernetes (Kubernetes RBAC). Com esse recurso, você não precisa gerenciar separadamente identidades de usuário e credenciais para o Kubernetes. No entanto, você ainda precisa configurar e gerenciar o RBAC do Azure e o RBAC do Kubernetes separadamente.

Antes de começar

  • Você precisa da CLI do Azure versão 2.24.0 ou posterior instalada e configurada. Executar az --version para localizar a versão. Se precisar de instalar ou atualizar, veja Install Azure CLI (Instalar o Azure CLI).
  • Você precisa de kubectl, com uma versão mínima de 1.18.3.
  • Você precisa da integração gerenciada do Microsoft Entra habilitada em seu cluster antes de poder adicionar o RBAC do Azure para autorização do Kubernetes. Se você precisar habilitar a integração gerenciada do Microsoft Entra, consulte Usar o ID do Microsoft Entra no AKS.
  • Se você tem CRDs e está fazendo definições de função personalizadas, a única maneira de cobrir CRDs hoje é usar Microsoft.ContainerService/managedClusters/*/reado . Para os objetos restantes, você pode usar os grupos de API específicos, como Microsoft.ContainerService/apps/deployments/read.
  • Novas atribuições de função podem levar até cinco minutos para serem propagadas e atualizadas pelo servidor de autorização.
  • A Autorização do RBAC do Azure para Kubernetes requer que o locatário do Microsoft Entra configurado para autenticação seja o mesmo que o locatário da assinatura que contém seu cluster AKS.

Criar um novo cluster AKS com integração gerenciada do Microsoft Entra e Autorização do Azure RBAC para Kubernetes

  1. Crie um grupo de recursos do Azure usando o az group create comando.

    export RESOURCE_GROUP=<resource-group-name>
export LOCATION=<azure-region>

az group create --name $RESOURCE_GROUP --location $LOCATION

  2. Crie um cluster AKS com integração gerenciada do Microsoft Entra e RBAC do Azure para Autorização Kubernetes usando o az aks create comando.

    export CLUSTER_NAME=<cluster-name>

az aks create \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-aad \
    --enable-azure-rbac \
    --generate-ssh-keys

    Sua saída deve ser semelhante à saída de exemplo a seguir:

    "AADProfile": {
    "adminGroupObjectIds": null,
    "clientAppId": null,
    "enableAzureRbac": true,
    "managed": true,
    "serverAppId": null,
    "serverAppSecret": null,
    "tenantId": "****-****-****-****-****"
}

Habilitar o RBAC do Azure em um cluster AKS existente

  • Habilite o RBAC do Azure para Autorização do Kubernetes em um cluster AKS existente usando o az aks update comando com o --enable-azure-rbac sinalizador.

    az aks update --resource-group $RESOURCE_GROUP --name $CLUSTER_NAME --enable-azure-rbac

Desabilitar a Autorização do RBAC do Azure para Kubernetes de um cluster AKS

  • Remova o RBAC do Azure para Autorização do Kubernetes de um cluster AKS existente usando o az aks update comando com o --disable-azure-rbac sinalizador.

    az aks update --resource-group $RESOURCE_GROUP --name $CLUSTER_NAME --disable-azure-rbac

Funções incorporadas do AKS

O AKS fornece as seguintes funções integradas:

Função Description
Azure Kubernetes Service RBAC Reader Permite acesso somente leitura para ver a maioria dos objetos em um namespace. Ele não permite a visualização de funções ou associações de funções. Essa função não permite a visualização Secrets, uma vez que a leitura do conteúdo de Secrets permite o acesso às credenciais ServiceAccount no namespace, o que permitiria o acesso à API como qualquer ServiceAccount no namespace (uma forma de escalonamento de privilégios).
Gravador RBAC do Serviço Kubernetes do Azure Permite acesso de leitura/gravação à maioria dos objetos em um namespace. Esta função não permite visualizar ou modificar funções ou associações de funções. No entanto, essa função permite acessar Secrets e executar Pods como qualquer ServiceAccount no namespace, para que possa ser usada para obter os níveis de acesso à API de qualquer ServiceAccount no namespace.
Azure Kubernetes Service RBAC Admin Permite acesso de administrador, destinado a ser concedido dentro de um namespace. Permite acesso de leitura/gravação à maioria dos recursos em um namespace (ou escopo de cluster), incluindo a capacidade de criar funções e associações de função dentro do namespace. Essa função não permite acesso de gravação à cota de recursos ou ao namespace em si.
Azure Kubernetes Service RBAC Cluster Admin Permite o acesso de superusuário para executar qualquer ação em qualquer recurso. Ele dá controle total sobre todos os recursos no cluster e em todos os namespaces.

Criar atribuições de função para acesso ao cluster

  1. Obtenha o seu ID de recurso AKS usando o az aks show comando.

    AKS_ID=$(az aks show --resource-group $RESOURCE_GROUP --name $CLUSTER_NAME --query id --output tsv)

  2. Crie uma atribuição de função usando o az role assignment create comando. <AAD-ENTITY-ID> pode ser um nome de usuário ou a ID do cliente de uma entidade de serviço. O exemplo a seguir cria uma atribuição de função para a função de Administrador RBAC do Serviço Kubernetes do Azure.

    az role assignment create --role "Azure Kubernetes Service RBAC Admin" --assignee <AAD-ENTITY-ID> --scope $AKS_ID

    Nota

    Você pode criar as atribuições de função Leitor RBAC do Serviço Kubernetes do Azure e Gravador RBAC do Serviço do Kubernetes do Azure com escopo para um namespace específico dentro do cluster usando o az role assignment create comando e definindo o escopo para o namespace desejado.

    az role assignment create --role "Azure Kubernetes Service RBAC Reader" --assignee <AAD-ENTITY-ID> --scope $AKS_ID/namespaces/<namespace-name>

Criar definições de funções personalizadas

O exemplo a seguir, a definição de função personalizada permite que um usuário leia apenas implantações e nada mais. Para obter a lista completa de ações possíveis, consulte Operações Microsoft.ContainerService.

  1. Para criar suas próprias definições de função personalizadas, copie o arquivo a seguir, substituindo <YOUR SUBSCRIPTION ID> por sua própria ID de assinatura, e salve-o como deploy-view.json.

    {
    "Name": "AKS Deployment Reader",
    "Description": "Lets you view all deployments in cluster/namespace.",
    "Actions": [],
    "NotActions": [],
    "DataActions": [
        "Microsoft.ContainerService/managedClusters/apps/deployments/read"
    ],
    "NotDataActions": [],
    "assignableScopes": [
        "/subscriptions/<YOUR SUBSCRIPTION ID>"
    ]
}

  2. Crie a definição de função usando o az role definition create comando, definindo o --role-definition para o deploy-view.json arquivo que você criou na etapa anterior.

    az role definition create --role-definition @deploy-view.json

  3. Atribua a definição de função a um usuário ou outra identidade usando o az role assignment create comando.

    az role assignment create --role "AKS Deployment Reader" --assignee <AAD-ENTITY-ID> --scope $AKS_ID

Usar o RBAC do Azure para Autorização do Kubernetes com kubectl

  1. Certifique-se de que tem a função incorporada de Utilizador do Cluster de Serviços do Kubernetes do Azure e, em seguida, obtenha o kubeconfig do seu cluster AKS utilizando o az aks get-credentials comando.

    az aks get-credentials --resource-group $RESOURCE_GROUP --name $CLUSTER_NAME

  2. Agora você pode usar kubectl para gerenciar seu cluster. Por exemplo, você pode listar os nós em seu cluster usando kubectl get nodes.

    kubectl get nodes

    Saída de exemplo:

    NAME                                STATUS   ROLES   AGE    VERSION
aks-nodepool1-93451573-vmss000000   Ready    agent   3h6m   v1.15.11
aks-nodepool1-93451573-vmss000001   Ready    agent   3h6m   v1.15.11
aks-nodepool1-93451573-vmss000002   Ready    agent   3h6m   v1.15.11

Usar o RBAC do Azure para Autorização do Kubernetes com kubelogin

O AKS criou o kubelogin plug-in para ajudar a desbloquear cenários como logins não interativos, versões mais antigas kubectl ou aproveitar o SSO em vários clusters sem a necessidade de entrar em um novo cluster.

  1. Use o kubelogin plug-in executando o seguinte comando:

    export KUBECONFIG=/path/to/kubeconfig
kubelogin convert-kubeconfig

  2. Agora você pode usar kubectl para gerenciar seu cluster. Por exemplo, você pode listar os nós em seu cluster usando kubectl get nodes.

    kubectl get nodes

    Saída de exemplo:

    NAME                                STATUS   ROLES   AGE    VERSION
aks-nodepool1-93451573-vmss000000   Ready    agent   3h6m   v1.15.11
aks-nodepool1-93451573-vmss000001   Ready    agent   3h6m   v1.15.11
aks-nodepool1-93451573-vmss000002   Ready    agent   3h6m   v1.15.11

Clean up resources (Limpar recursos)

Excluir atribuição de função

  1. Liste atribuições de função usando o az role assignment list comando.

    az role assignment list --scope $AKS_ID --query [].id --output tsv

  2. Exclua atribuições de função usando o az role assignment delete comando.

    az role assignment delete --ids <LIST OF ASSIGNMENT IDS>

Excluir definição de função

  • Exclua a definição de função personalizada usando o az role definition delete comando.

    az role definition delete --name "AKS Deployment Reader"

Excluir grupo de recursos e cluster AKS

  • Exclua o grupo de recursos e o cluster AKS usando o az group delete comando.

    az group delete --name $RESOURCE_GROUP --yes --no-wait

Próximos passos

Para saber mais sobre autenticação, autorização, RBAC do Kubernetes e RBAC do Azure, consulte: