マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

複雑なモノなので、それなりに複雑。

詳細

AKS(制御プレーン)用ID

AKSクラスタに必要な権限

  • AKSクラスタ作成には「az aks create」を実行する。
  • 「az aks create」の実行には高権限が必要
  • 「az aks create」では以下の操作・権限が必要になる。
  • AKSクラスタへのデプロイでは「kubectl apply」を実行する。
  • 「kubectl apply」の実行にはコンテナ・レジストリのアクセス権限が必要

サブスクリプションのContributorロール

制御プレーン実行ノードを作成する。」ために必要になる。

AzADのアプリID作成権限

AKS(制御プレーン)用IDAzADに登録する。」ために必要になる。

サブスクリプションのSecurity Adminロール

AKS(制御プレーン)用IDに高い権限を持たせる。」ために必要になる。

ACRにアクセスするAcrPull?ロール

「「kubectl apply」の実行のためコンテナ・レジストリをpullする。」ために必要になる。

AKS(制御プレーン)用IDの作成方式

以下の方法で、「az aks create」を行い、AKS(制御プレーン)用IDを作成する。

SPN方式

AzADのアプリID作成権限権限を持って「いない」ケース

  • ポイント
    • 一年でパスワード(シークレット)が失効する(無期限にも出来る)。
    • SPNは権限のある人間に作成してもらう。
    • パスワード(シークレット)の再設定は、
      「az aks update-credentials」で行う。

Managed ID方式

Ownerロール+AzADのアプリID作成権限権限を持ってい「る」ケース

  • ポイント
    • 扱いが容易。
    • SPNをラップするレイヤらしい。

付与する権限と作成するAppIDの対応

付与する権限

以下の権限が必要になる。

作成するAppID

AKS管理リソースグループ外を利用する場合

対象のリソースに対するサブスクリプションのContributorロール権限を付与する。

予め作成したVNET上にAKSクラスタを作成

既存のVNETに対するサブスクリプションのContributorロール権限を付与する。

...

  • 基本的に、上記と同じ。
  • AcrPull?+Managed IDのような場合は、
    専用コマンドが用意されているケースはありそう。

参考

  • az aks | Microsoft Docs

Tags: :クラウド, :コンテナ, :Azure, :AKS, :セキュリティ


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2020-05-08 (金) 21:58:02 (24d)