Dela via

Azure RBAC på Azure Arc-aktiverade Kubernetes-kluster

Med microsoft entra-ID och rollbaserad åtkomstkontroll i Azure (Azure RBAC) kan du styra auktoriseringskontroller i ditt Azure Arc-aktiverade Kubernetes-kluster. Om du använder Azure RBAC med klustret får du fördelarna med Rolltilldelningar i Azure, till exempel aktivitetsloggar som visar ändringar som användarna har gjort i din Azure-resurs.

Arkitektur

Diagram som visar Azure RBAC-arkitektur.

Om du vill ladda ned arkitekturdiagram i hög upplösning går du till Jumpstart Gems.

För att dirigera alla åtkomstkontroller för auktorisering till auktoriseringstjänsten i Azure distribueras en webhook-server (guard) i klustret.

Klustret apiserver är konfigurerat för att använda webhook-tokenautentisering och webhook-auktorisering så att TokenAccessReview och SubjectAccessReview begäranden dirigeras till guard webhook-servern. Begäranden TokenAccessReview och SubjectAccessReview utlöses av begäranden för Kubernetes-resurser som skickas till apiserver.

Guard anropar checkAccess sedan auktoriseringstjänsten i Azure för att se om den begärande Microsoft Entra-entiteten har åtkomst till resursen.

Om entiteten har en roll som tillåter den här åtkomsten skickas ett allowed svar från auktoriseringstjänsten för att skydda. Guard skickar i sin tur ett allowed svar till , apiservervilket gör det möjligt för den anropande entiteten att komma åt den begärda Kubernetes-resursen.

Om entiteten inte har en roll som tillåter den här åtkomsten skickas ett denied svar från auktoriseringstjänsten för att skydda. Guard skickar ett denied svar till apiserver, vilket ger den anropande entiteten ett 403-förbjudet fel på den begärda resursen.

Aktivera Azure RBAC i dina Arc-aktiverade Kubernetes-kluster

Detaljerad information om hur du konfigurerar Azure RBAC och skapar rolltilldelningar för dina kluster finns i Använda Azure RBAC i Azure Arc-aktiverade Kubernetes-kluster.

Nästa steg