AKSクラスタ作成・操作に必要な権限のバックアップ(No.2) - マイクロソフト系技術情報 Wiki

[ トップ ] [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

戻る

目次 †

目次
概要
詳細
参考

概要 †

複雑なモノなので、それなりに複雑。

詳細 †

AKS(制御プレーン)用ID †

AKS 制御プレーンによる管理操作を行うID（アカウント）

AKSクラスタ作成に必要な権限 †

AKSクラスタ作成には「az aks create」を実行する。

「az aks create」の実行には高権限が必要

「az aks create」では以下の操作・権限が必要になる。

サブスクリプションのContributorロール †

「制御プレーン、実行ノードを作成する。」ために必要になる。

AzADのアプリID作成権限 †

「AKS(制御プレーン)用IDをAzADに登録する。」ために必要になる。

サブスクリプションのSecurity Adminロール †

「AKS(制御プレーン)用IDに高い権限を持たせる。」ために必要になる。

AKS(制御プレーン)用IDの作成方式 †

以下の方法で、「az aks create」を行い、
AKS(制御プレーン)用IDを作成する（最終的にはSPNが必要）。

SPN方式 †

AzADのアプリID作成権限権限を持って「いない」ケース

ポイント
- 一年でパスワードが失効する（無期限にも出来る）。
- SPNは権限のある人間に作成してもらう。

実行手順
- コチラのチュートリアルでの方式
- Azure Kubernetes Service (AKS) 用のサービスプリンシパル | Microsoft Docs
  https://docs.microsoft.com/ja-jp/azure/aks/kubernetes-service-principal

Managed ID方式 †

Ownerロール＋AzADのアプリID作成権限権限を持ってい「る」ケース

ポイント
- 扱いが容易なため、推奨の方式。
- SPNをラップするレイヤらしい。

実行手順
- 「az aks create」に「--enable-managed-identity」オプションを追加して実行
- Azure Kubernetes Service でマネージド ID を使用する | Microsoft Docs
  https://docs.microsoft.com/ja-jp/azure/aks/use-managed-identity

付与する権限 †

サブスクリプションのContributorロールが必要になる。

参考 †

az aks | Microsoft Docs > az aks create
https://docs.microsoft.com/en-us/cli/azure/aks?view=azure-cli-latest#az-aks-create

Tags: :クラウド, :Azure