AKSクラスタ作成・操作に必要な権限 のバックアップ(No.5)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• AKSクラスタ作成・操作に必要な権限 へ行く。
  • 1 (2020-05-06 (水) 11:49:01)
  • 2 (2020-05-06 (水) 14:04:03)
  • 3 (2020-05-06 (水) 17:49:19)
  • 4 (2020-05-06 (水) 18:41:25)
  • 5 (2020-05-07 (木) 12:17:30)
  • 6 (2020-05-07 (木) 18:11:20)
  • 7 (2020-05-08 (金) 21:58:02)
  • 8 (2020-06-30 (火) 10:27:01)
  • 9 (2020-07-16 (木) 13:31:41)
  • 10 (2021-03-04 (木) 23:01:25)
  • 11 (2021-03-08 (月) 12:23:31)

---

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る
  • Azure > AKS
  • AKSをセキュアに利用するためのテクニカルリファレンス

目次 †

概要 †

複雑なモノなので、それなりに複雑。

詳細 †

AKS(制御プレーン)用ID †

• AKS 制御プレーンによる管理操作を行うID
• これは、SPNのAppIDに該当。

AKSクラスタに必要な権限 †

• AKSクラスタ作成には「az aks create」を実行する。

• 「az aks create」の実行には高権限が必要

• 「az aks create」では以下の操作・権限が必要になる。

• AKSクラスタへのデプロイでは「kubectl apply」を実行する。

• 「kubectl apply」の実行にはコンテナ・レジストリのアクセス権限が必要

サブスクリプションのContributorロール †

「制御プレーン、実行ノードを作成する。」ために必要になる。

AzADのアプリID作成権限 †

「AKS(制御プレーン)用IDをAzADに登録する。」ために必要になる。

サブスクリプションのSecurity Adminロール †

「AKS(制御プレーン)用IDに高い権限を持たせる。」ために必要になる。

ACRにアクセスするAcrPull?ロール †

「「kubectl apply」の実行のためコンテナ・レジストリをpullする。」ために必要になる。

AKS(制御プレーン)用IDの作成方式 †

以下の方法で、「az aks create」を行い、
AKS(制御プレーン)用IDを作成する。

SPN方式 †

AzADのアプリID作成権限権限を持って「いない」ケース

• ポイント
  • 一年でパスワード（シークレット）が失効する（無期限にも出来る）。
  • SPNは権限のある人間に作成してもらう。
  • パスワード（シークレット）の再設定は、
    「az aks update-credentials」で行う。

• 実行手順
  • コチラのチュートリアルでの方式
  • Azure Kubernetes Service (AKS) 用のサービス プリンシパル | Microsoft Docs
    https://docs.microsoft.com/ja-jp/azure/aks/kubernetes-service-principal

Managed ID方式 †

Ownerロール＋AzADのアプリID作成権限権限を持ってい「る」ケース

• ポイント
  • 扱いが容易。
  • SPNをラップするレイヤらしい。

• 実行手順
  • 「az aks create」に「--enable-managed-identity」オプションを追加して実行
  • Azure Kubernetes Service でマネージド ID を使用する | Microsoft Docs
    https://docs.microsoft.com/ja-jp/azure/aks/use-managed-identity

付与する権限と作成するAppIDの対応 †

付与する権限 †

以下の権限が必要になる。

• ACRにアクセスするAcrPullロール
• サブスクリプションのContributorロール

作成するAppID †

• SPN方式
  明示的に作成したSPNの１つのAppIDに、
  • Contributorロールが付与される。
  • AcrPullロールを明示的に付与する。

• Managed ID方式
  以下の２つのSPNのAppIDが自動的に生成される。
  • <clustername>
    Contributorロールが付与される。
  • <clustername>-agentpool
    AcrPullロールを明示的に付与する。

AKS管理リソースグループ外を利用する場合 †

予め作成したVNET上にAKSクラスタを作成 †

• SPN方式

  AKS_VNET_ID=$(az network vnet show --name $AKS_VNET_NAME --resource-group $RG_AKS --query id -o tsv)
  az role assignment create --assignee $AKS_SP_ID --role "Contributor" --scope $AKS_VNET_ID

• Managed ID方式

  AKS_VNET_ID=$(az network vnet show --name $AKS_VNET_NAME --resource-group $RG_AKS --query id -o tsv)
  AKS_MANAGED_ID=$(az aks show --name $AKS_CLUSTER_NAME --resource-group $RG_AKS --query identity.principalId -o tsv)
  az role assignment create --assignee $AKS_MANAGED_ID --role "Contributor" --scope $AKS_VNET_ID

• 参考
  • Azure Kubernetes Serviceを別の仮想ネットワークにデプロイする時の注意点 - Qiita
    https://qiita.com/yotan/items/75a54dc60761d5b6f866

...。 †

参考 †

• az aks | Microsoft Docs

• az aks create
  https://docs.microsoft.com/en-us/cli/azure/aks?view=azure-cli-latest#az-aks-create

• az aks update-credentials
  https://docs.microsoft.com/en-us/cli/azure/aks?view=azure-cli-latest#az-aks-update-credentials

---

Tags: :クラウド, :Azure, :AKS

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.023 sec.