AKSクラスタ作成・操作に必要な権限
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
]
開始行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-戻る
--[[Azure]] > [[AKS>Azure Kubernetes Service (AKS)]]
--[[AKSをセキュアに利用するためのテクニカルリファレンス]]
* 目次 [#n48a71e2]
#contents
*概要 [#va1f26fe]
複雑なモノなので、それなりに複雑。
*詳細 [#p2c8fc57]
**AKS([[制御プレーン>AKSをセキュアに利用するためのテクニ...
-AKS [[制御プレーン>AKSをセキュアに利用するためのテクニカ...
-これは、[[SPN>Azure サービス プリンシパル]]のAppIDに該当。
**AKSクラスタに必要な権限 [#reb90294]
-AKSクラスタ作成には「az aks create」を実行する。
--「az aks create」の実行には高権限が必要
--「az aks create」では以下の操作・権限が必要になる。
-AKSクラスタへのデプロイでは「kubectl apply」を実行する。
--「kubectl apply」の実行にはコンテナ・レジストリのアクセ...
***サブスクリプションのContributorロール [#m83cbfc0]
「[[制御プレーン>AKSをセキュアに利用するためのテクニカル...
***[[Azure Active Directory]]のアプリID作成権限 [#u1169638]
「[[AKS(制御プレーン)用ID>#qbc64e29]]を[[Azure Active Dir...
***サブスクリプションのSecurity Adminロール [#t513823c]
「[[AKS(制御プレーン)用ID>#qbc64e29]]に高い権限を持たせる...
***[[ACR>Azure Container Registry]]にアクセスするAcrPull...
「"kubectl apply"の実行のためコンテナ・レジストリをpullす...
**[[AKS(制御プレーン)用ID>#qbc64e29]]の作成方式 [#zd36951f]
以下の方法で、「az aks create」を行い、[[AKS(制御プレーン...
***[[SPN>Azure サービス プリンシパル]]方式 [#c8ea8683]
[[AzADのアプリID作成権限>#u1169638]]権限を持って「いない...
-ポイント
--一年でパスワード(シークレット)が失効する(無期限にも...
--[[SPN>Azure サービス プリンシパル]]は権限のある人間に作...
--パスワード(シークレット)の再設定は、~
「az aks update-credentials」で行う。
-実行手順
--[[コチラのチュートリアル>Azure Kubernetes Service (AKS)...
--Azure Kubernetes Service (AKS) 用のサービス プリンシパ...
https://docs.microsoft.com/ja-jp/azure/aks/kubernetes-ser...
***[[Managed ID>Azure Managed ID]]方式 [#i3b0bd60]
Ownerロール+[[AzADのアプリID作成権限>#u1169638]]権限を持...
-ポイント
--扱いが容易。
--[[SPN>Azure サービス プリンシパル]]をラップするレイヤら...
-実行手順
--[[コチラのチュートリアル>AKSをセキュアに利用する構築デ...
--「az aks create」に「--enable-managed-identity」オプシ...
--Azure Kubernetes Service でマネージド ID を使用する | M...
https://docs.microsoft.com/ja-jp/azure/aks/use-managed-id...
**付与する権限と作成するAppIDの対応 [#z3a90ed1]
***付与する権限 [#ec478794]
以下の権限が必要になる。
-[[ACRにアクセスするAcrPullロール>#wd6c020d]]
-[[サブスクリプションのContributorロール>#m83cbfc0]]
***作成するAppID [#qc2c2db1]
-[[SPN方式>#c8ea8683]]
--明示的に作成したSPNの1つのAppIDに、
---[[Contributorロールが付与される。>Azure サービス プリ...
---[[AcrPullロールを明示的に付与する。>Azure サービス プ...
--実行手順~
[[コチラのチュートリアル>Azure Kubernetes Service (AKS)#l...
-[[Managed ID方式>#i3b0bd60]]
--以下の2つのSPNのAppIDが自動的に生成される。
---<clustername>~
[[Contributorロールが付与される。>Azure サービス プリンシ...
---<clustername>-agentpool~
[[AcrPullロールを明示的に付与する。>Azure サービス プリン...
--実行手順~
[[コチラのチュートリアル>AKSをセキュアに利用する構築デモ...
**AKS管理リソースグループ外を利用する場合 [#ycbd0a55]
対象のリソースに対する[[サブスクリプションのContributorロ...
***[[予め作成したVNET上にAKSクラスタを作成>Azure サービス...
既存のVNETに対する[[サブスクリプションのContributorロール...
-[[SPN方式>#c8ea8683]]
--概要~
...
--実行手順~
%%コチラのチュートリアルでの方式%%
-[[Managed ID方式>#i3b0bd60]]
--概要~
...
--実行手順~
[[コチラのチュートリアル>AKSをセキュアに利用する構築デモ...
***... [#m528c866]
-基本的に、[[上記>#db6b9d7e]]と同じ。
-AcrPull+[[Managed ID>Azure Managed ID]]のような場合は、~
専用コマンドが用意されているケースはありそう。
*参考 [#qfb85783]
-az aks | Microsoft Docs
--az aks create~
https://docs.microsoft.com/en-us/cli/azure/aks?view=azure...
--az aks update-credentials~
https://docs.microsoft.com/en-us/cli/azure/aks?view=azure...
----
Tags: [[:クラウド]], [[:コンテナ]], [[:Azure]], [[:AKS]],...
終了行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-戻る
--[[Azure]] > [[AKS>Azure Kubernetes Service (AKS)]]
--[[AKSをセキュアに利用するためのテクニカルリファレンス]]
* 目次 [#n48a71e2]
#contents
*概要 [#va1f26fe]
複雑なモノなので、それなりに複雑。
*詳細 [#p2c8fc57]
**AKS([[制御プレーン>AKSをセキュアに利用するためのテクニ...
-AKS [[制御プレーン>AKSをセキュアに利用するためのテクニカ...
-これは、[[SPN>Azure サービス プリンシパル]]のAppIDに該当。
**AKSクラスタに必要な権限 [#reb90294]
-AKSクラスタ作成には「az aks create」を実行する。
--「az aks create」の実行には高権限が必要
--「az aks create」では以下の操作・権限が必要になる。
-AKSクラスタへのデプロイでは「kubectl apply」を実行する。
--「kubectl apply」の実行にはコンテナ・レジストリのアクセ...
***サブスクリプションのContributorロール [#m83cbfc0]
「[[制御プレーン>AKSをセキュアに利用するためのテクニカル...
***[[Azure Active Directory]]のアプリID作成権限 [#u1169638]
「[[AKS(制御プレーン)用ID>#qbc64e29]]を[[Azure Active Dir...
***サブスクリプションのSecurity Adminロール [#t513823c]
「[[AKS(制御プレーン)用ID>#qbc64e29]]に高い権限を持たせる...
***[[ACR>Azure Container Registry]]にアクセスするAcrPull...
「"kubectl apply"の実行のためコンテナ・レジストリをpullす...
**[[AKS(制御プレーン)用ID>#qbc64e29]]の作成方式 [#zd36951f]
以下の方法で、「az aks create」を行い、[[AKS(制御プレーン...
***[[SPN>Azure サービス プリンシパル]]方式 [#c8ea8683]
[[AzADのアプリID作成権限>#u1169638]]権限を持って「いない...
-ポイント
--一年でパスワード(シークレット)が失効する(無期限にも...
--[[SPN>Azure サービス プリンシパル]]は権限のある人間に作...
--パスワード(シークレット)の再設定は、~
「az aks update-credentials」で行う。
-実行手順
--[[コチラのチュートリアル>Azure Kubernetes Service (AKS)...
--Azure Kubernetes Service (AKS) 用のサービス プリンシパ...
https://docs.microsoft.com/ja-jp/azure/aks/kubernetes-ser...
***[[Managed ID>Azure Managed ID]]方式 [#i3b0bd60]
Ownerロール+[[AzADのアプリID作成権限>#u1169638]]権限を持...
-ポイント
--扱いが容易。
--[[SPN>Azure サービス プリンシパル]]をラップするレイヤら...
-実行手順
--[[コチラのチュートリアル>AKSをセキュアに利用する構築デ...
--「az aks create」に「--enable-managed-identity」オプシ...
--Azure Kubernetes Service でマネージド ID を使用する | M...
https://docs.microsoft.com/ja-jp/azure/aks/use-managed-id...
**付与する権限と作成するAppIDの対応 [#z3a90ed1]
***付与する権限 [#ec478794]
以下の権限が必要になる。
-[[ACRにアクセスするAcrPullロール>#wd6c020d]]
-[[サブスクリプションのContributorロール>#m83cbfc0]]
***作成するAppID [#qc2c2db1]
-[[SPN方式>#c8ea8683]]
--明示的に作成したSPNの1つのAppIDに、
---[[Contributorロールが付与される。>Azure サービス プリ...
---[[AcrPullロールを明示的に付与する。>Azure サービス プ...
--実行手順~
[[コチラのチュートリアル>Azure Kubernetes Service (AKS)#l...
-[[Managed ID方式>#i3b0bd60]]
--以下の2つのSPNのAppIDが自動的に生成される。
---<clustername>~
[[Contributorロールが付与される。>Azure サービス プリンシ...
---<clustername>-agentpool~
[[AcrPullロールを明示的に付与する。>Azure サービス プリン...
--実行手順~
[[コチラのチュートリアル>AKSをセキュアに利用する構築デモ...
**AKS管理リソースグループ外を利用する場合 [#ycbd0a55]
対象のリソースに対する[[サブスクリプションのContributorロ...
***[[予め作成したVNET上にAKSクラスタを作成>Azure サービス...
既存のVNETに対する[[サブスクリプションのContributorロール...
-[[SPN方式>#c8ea8683]]
--概要~
...
--実行手順~
%%コチラのチュートリアルでの方式%%
-[[Managed ID方式>#i3b0bd60]]
--概要~
...
--実行手順~
[[コチラのチュートリアル>AKSをセキュアに利用する構築デモ...
***... [#m528c866]
-基本的に、[[上記>#db6b9d7e]]と同じ。
-AcrPull+[[Managed ID>Azure Managed ID]]のような場合は、~
専用コマンドが用意されているケースはありそう。
*参考 [#qfb85783]
-az aks | Microsoft Docs
--az aks create~
https://docs.microsoft.com/en-us/cli/azure/aks?view=azure...
--az aks update-credentials~
https://docs.microsoft.com/en-us/cli/azure/aks?view=azure...
----
Tags: [[:クラウド]], [[:コンテナ]], [[:Azure]], [[:AKS]],...
ページ名: