Microsoft Entra ID と Azure ロールベースのアクセス制御 (Azure RBAC) を使用すると、Azure Arc 対応 Kubernetes クラスターの承認チェックを制御できます。 クラスターで Azure RBAC を使用すると、ユーザーが Azure リソースに加えた変更を示すアクティビティ ログなど、Azure ロールの割り当ての利点が得られます。
建築
アーキテクチャ図を高解像度でダウンロードするには、 Jumpstart Gem にアクセスしてください。
すべての承認アクセス チェックを Azure の承認サービスにルーティングするために、Webhook サーバー (ガード) がクラスターにデプロイされます。
クラスターの apiserver は、 webhook トークン認証 と webhook 承認 を使用するように構成され、 TokenAccessReview 要求と SubjectAccessReview 要求がガード Webhook サーバーにルーティングされます。
TokenAccessReview および SubjectAccessReview 要求は、apiserver に送信される Kubernetes リソースに対する要求によってトリガーされます。
ガードは、Azure の認可サービスに対して checkAccess 呼び出しを行い、要求元の Microsoft Entra エンティティが、目的のリソースにアクセスできるかどうかを確認します。
このアクセスを許可するロールをそのエンティティが持っている場合は、承認サービスからガードに allowed 応答が送信されます。 次に、ガードは allowed に apiserver 応答を送信し、呼び出し元のエンティティが、要求された Kubernetes リソースにアクセスできるようにします。
このアクセスを許可するロールをエンティティが持っていない場合は、承認サービスからガードに denied 応答が送信されます。 ガードは denied に apiserver 応答を送信し、呼び出し元のエンティティに対し、要求されたリソースへの 403 (許可されていません) エラーを発出します。
Arc 対応 Kubernetes クラスターで Azure RBAC を有効にする
Azure RBAC を設定し、クラスターのロールの割り当てを作成する方法の詳細については、 Azure Arc 対応 Kubernetes クラスターでの Azure RBAC の使用に関するページを参照してください。
次のステップ
- クイック スタートを使用して 、Kubernetes クラスターを Azure Arc に接続します。
- Azure Arc 対応 Kubernetes クラスターで Azure RBAC を設定します。
- Azure Arc 対応 Kubernetes のセキュリティブックのガイダンスに従って、クラスターを他の方法で保護します。