AKSクラスタ作成・操作に必要な権限のバックアップ(No.10) - マイクロソフト系技術情報 Wiki

[ トップ ] [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

バックアップ一覧
差分を表示
現在との差分を表示
ソースを表示
AKSクラスタ作成・操作に必要な権限へ行く。
- 1 (2020-05-06 (水) 11:49:01)
- 2 (2020-05-06 (水) 14:04:03)
- 3 (2020-05-06 (水) 17:49:19)
- 4 (2020-05-06 (水) 18:41:25)
- 5 (2020-05-07 (木) 12:17:30)
- 6 (2020-05-07 (木) 18:11:20)
- 7 (2020-05-08 (金) 21:58:02)
- 8 (2020-06-30 (火) 10:27:01)
- 9 (2020-07-16 (木) 13:31:41)
- 10 (2021-03-04 (木) 23:01:25)
- 11 (2021-03-08 (月) 12:23:31)

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

戻る
- Azure > AKS
- AKSをセキュアに利用するためのテクニカルリファレンス

目次 †

目次
概要
詳細
参考

概要 †

複雑なモノなので、それなりに複雑。

詳細 †

AKS(制御プレーン)用ID †

AKS 制御プレーンによる管理操作を行うID
これは、SPNのAppIDに該当。

AKSクラスタに必要な権限 †

AKSクラスタ作成には「az aks create」を実行する。

「az aks create」の実行には高権限が必要

「az aks create」では以下の操作・権限が必要になる。

AKSクラスタへのデプロイでは「kubectl apply」を実行する。

「kubectl apply」の実行にはコンテナ・レジストリのアクセス権限が必要

サブスクリプションのContributorロール †

「制御プレーン、実行ノードを作成する。」ために必要になる。

Azure Active DirectoryのアプリID作成権限 †

「AKS(制御プレーン)用IDをAzure Active Directoryに登録する。」ために必要になる。

サブスクリプションのSecurity Adminロール †

「AKS(制御プレーン)用IDに高い権限を持たせる。」ために必要になる。

ACRにアクセスするAcrPull?ロール †

「「kubectl apply」の実行のためコンテナ・レジストリをpullする。」ために必要になる。

AKS(制御プレーン)用IDの作成方式 †

以下の方法で、「az aks create」を行い、AKS(制御プレーン)用IDを作成する。

SPN方式 †

AzADのアプリID作成権限権限を持って「いない」ケース

ポイント
- 一年でパスワード（シークレット）が失効する（無期限にも出来る）。
- SPNは権限のある人間に作成してもらう。
- パスワード（シークレット）の再設定は、
  「az aks update-credentials」で行う。

実行手順
- コチラのチュートリアルでの方式
- Azure Kubernetes Service (AKS) 用のサービスプリンシパル | Microsoft Docs
  https://docs.microsoft.com/ja-jp/azure/aks/kubernetes-service-principal

Managed ID方式 †

Ownerロール＋AzADのアプリID作成権限権限を持ってい「る」ケース

ポイント
- 扱いが容易。
- SPNをラップするレイヤらしい。

実行手順
- 「az aks create」に「--enable-managed-identity」オプションを追加して実行
- Azure Kubernetes Service でマネージド ID を使用する | Microsoft Docs
  https://docs.microsoft.com/ja-jp/azure/aks/use-managed-identity

付与する権限と作成するAppIDの対応 †

付与する権限 †

以下の権限が必要になる。

ACRにアクセスするAcrPullロール
サブスクリプションのContributorロール

作成するAppID †

SPN方式
明示的に作成したSPNの１つのAppIDに、
- Contributorロールが付与される。
- AcrPullロールを明示的に付与する。

Managed ID方式
以下の２つのSPNのAppIDが自動的に生成される。
- <clustername>
  Contributorロールが付与される。
- <clustername>-agentpool
  AcrPullロールを明示的に付与する。

AKS管理リソースグループ外を利用する場合 †

対象のリソースに対するサブスクリプションのContributorロール権限を付与する。

予め作成したVNET上にAKSクラスタを作成 †

既存のVNETに対するサブスクリプションのContributorロール権限を付与する。

... †

基本的に、上記と同じ。
AcrPull?＋Managed IDのような場合は、
専用コマンドが用意されているケースはありそう。

参考 †

az aks | Microsoft Docs

az aks create
https://docs.microsoft.com/en-us/cli/azure/aks?view=azure-cli-latest#az-aks-create

az aks update-credentials
https://docs.microsoft.com/en-us/cli/azure/aks?view=azure-cli-latest#az-aks-update-credentials

Tags: :クラウド, :コンテナ, :Azure, :AKS, :IaC, :セキュリティ