Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Você pode autenticar, autorizar, proteger e controlar o acesso aos clusters do Kubernetes de várias maneiras:
- Usando o controle de acesso baseado em função do Kubernetes (Kubernetes RBAC), você pode conceder aos usuários, grupos e contas de serviço acesso apenas aos recursos de que precisam.
- Com o Serviço Kubernetes do Azure (AKS), você pode aprimorar ainda mais a estrutura de segurança e permissões usando o Microsoft Entra ID e o Azure RBAC.
Kubernetes, RBAC e AKS ajudam você a proteger o acesso ao cluster e fornecem apenas as permissões mínimas necessárias para desenvolvedores e operadores.
Este artigo apresenta os principais conceitos que ajudam a autenticar e atribuir permissões no AKS.
RBAC do Kubernetes
O RBAC do Kubernetes fornece filtragem granular das ações do usuário. Com este mecanismo de controlo:
- Você atribui permissão a usuários ou grupos de usuários para criar e modificar recursos ou exibir logs de cargas de trabalho de aplicativos em execução.
- Você pode definir o escopo de permissões para um único namespace ou em todo o cluster AKS.
- Você cria funções para definir permissões e, em seguida, atribui essas funções a usuários com associações de função.
Para obter mais informações, consulte Usar a autorização RBAC do Kubernetes.
Funções e ClusterRoles
Funções
Antes de atribuir permissões a usuários com o Kubernetes RBAC, você definirá as permissões de usuário como uma Função. Conceda permissões dentro de um namespace usando funções.
Nota
As funções do Kubernetes concedem permissões, não negam permissões.
Para conceder permissões em todo o cluster ou para recursos de cluster fora de um determinado namespace, você pode usar ClusterRoles.
ClusterRoles
Um ClusterRole concede e aplica permissões a recursos em todo o cluster, não a um namespace específico.
RoleBindings e ClusterRoleBindings
Depois de definir funções para conceder permissões a recursos, você atribui essas permissões RBAC do Kubernetes com um RoleBinding. Se o cluster AKS integra-se com o ID do Microsoft Entra, os RoleBindings concedem permissões aos utilizadores do Microsoft Entra para executar ações dentro do cluster. Veja como em Controlar o acesso a recursos do cluster usando o controle de acesso baseado em funções do Kubernetes e as identidades do Microsoft Entra.
Vinculações de Funções
Atribua funções a usuários para um determinado namespace usando RoleBindings. Com RoleBindings, você pode segregar logicamente um único cluster AKS, permitindo apenas que os usuários acessem os recursos do aplicativo em seu namespace atribuído.
Para vincular funções em todo o cluster ou a recursos de cluster fora de um determinado namespace, use ClusterRoleBindings.
Vinculação de Função de Cluster (ClusterRoleBinding)
Com um ClusterRoleBinding, você vincula funções a usuários e aplica a recursos em todo o cluster, não a um namespace específico. Essa abordagem permite que você conceda aos administradores ou engenheiros de suporte acesso a todos os recursos no cluster AKS.
Nota
A Microsoft/AKS executa quaisquer ações de cluster com o consentimento do usuário sob uma função Kubernetes interna aks-service e uma associação de função interna aks-service-rolebinding.
Essa função permite que o AKS solucione e diagnostique problemas de cluster, mas não pode modificar permissões nem criar funções ou associações de função ou outras ações de alto privilégio. O acesso à função só é habilitado em tíquetes de suporte ativo com acesso just-in-time (JIT). Leia mais sobre as políticas de suporte do AKS.
Contas de serviço do Kubernetes
As contas de serviço são um dos principais tipos de usuário no Kubernetes. A API do Kubernetes mantém e gerencia contas de serviço. As credenciais de conta de serviço são armazenadas como segredos do Kubernetes, permitindo que sejam usadas por pods autorizados para se comunicar com o servidor de API. A maioria das solicitações de API fornece um token de autenticação para uma conta de serviço ou uma conta de usuário normal.
Contas de usuário normais permitem acesso mais tradicional para administradores humanos ou desenvolvedores, não apenas serviços e processos. Embora o Kubernetes não forneça uma solução de gerenciamento de identidade para armazenar contas de usuário e senhas regulares, você pode integrar soluções de identidade externas ao Kubernetes. Para clusters AKS, esta solução de identidade integrada é o Microsoft Entra ID.
Para obter mais informações sobre as opções de identidade no Kubernetes, consulte Autenticação do Kubernetes.
Controlo de acesso baseado em funções do Azure
O RBAC (controle de acesso baseado em função) do Azure é um sistema de autorização criado no Azure Resource Manager que fornece gerenciamento de acesso refinado dos recursos do Azure.
| Sistema RBAC | Descrição |
|---|---|
| RBAC do Kubernetes | Projetado para trabalhar em recursos do Kubernetes dentro do seu cluster AKS. |
| RBAC do Azure | Projetado para trabalhar em recursos em sua assinatura do Azure. |
Com o RBAC do Azure, cria uma definição de função que descreve as permissões a serem aplicadas. Em seguida, você atribui a um usuário ou grupo essa definição de função por meio de uma atribuição de função para um escopo específico. O escopo pode ser um recurso individual, um grupo de recursos ou ao nível da subscrição.
Para obter mais informações, consulte O que é o controle de acesso baseado em função do Azure (Azure RBAC)?
Há dois níveis de acesso necessários para operar totalmente um cluster AKS:
-
Aceda ao recurso AKS na sua subscrição do Azure.
- Controle o dimensionamento ou a atualização do cluster usando as APIs do AKS.
- Puxe o seu
kubeconfig.
- Acesso à API do Kubernetes. Este acesso é controlado por:
- Kubernetes RBAC (tradicionalmente).
- Integração do RBAC do Azure com o AKS para autorização no Kubernetes.
RBAC do Azure para autorizar o acesso ao recurso AKS
Com o RBAC do Azure, você pode fornecer aos seus usuários (ou identidades) acesso granular aos recursos do AKS em uma ou mais assinaturas. Por exemplo, você pode usar a função de Colaborador do Serviço Kubernetes do Azure para dimensionar e atualizar seu cluster. Enquanto isso, outro usuário com a função de Administrador do Cluster de Serviço do Kubernetes do Azure só tem permissão para puxar o Admin kubeconfig.
Use o RBAC do Azure para definir o acesso ao arquivo de configuração do Kubernetes no AKS.
Autorização do RBAC do Azure para Kubernetes
Com a integração do RBAC do Azure, o AKS usará um servidor webhook de autorização do Kubernetes, permitindo-lhe gerir as permissões e as atribuições dos recursos do cluster Kubernetes integrado ao Microsoft Entra usando as definições de funções e as atribuições de funções do Azure.
Como mostrado no diagrama acima, ao usar a integração do Azure RBAC, todas as solicitações para a API do Kubernetes seguirão o mesmo fluxo de autenticação, conforme explicado na seção de integração do Microsoft Entra.
Se a identidade que faz a solicitação existir no Microsoft Entra ID, o Azure se unirá ao Kubernetes RBAC para autorizar a solicitação. Se a identidade existir fora do Microsoft Entra ID (ou seja, uma conta de serviço do Kubernetes), a autorização será adiada para o RBAC normal do Kubernetes.
Nesse cenário, você usa mecanismos e APIs do RBAC do Azure para atribuir funções internas aos usuários ou criar funções personalizadas, assim como faria com as funções do Kubernetes.
Com esse recurso, você não apenas concede aos usuários permissões para o recurso AKS em todas as assinaturas, mas também configura a função e as permissões para dentro de cada um desses clusters que controlam o acesso à API do Kubernetes. Por exemplo, pode-se conceder a função Azure Kubernetes Service RBAC Reader no escopo da assinatura. O destinatário da função poderá listar e obter todos os objetos do Kubernetes de todos os clusters sem modificá-los.
Importante
Você precisa habilitar a autorização do RBAC do Azure para Kubernetes antes de usar esse recurso. Para obter mais detalhes e um guia passo a passo, siga o nosso guia prático de Como usar o RBAC do Azure para a Autorização do Kubernetes.
Funções incorporadas
O AKS fornece as seguintes quatro funções integradas. Eles são semelhantes às funções internas do Kubernetes com algumas diferenças, como o suporte a CRDs. Consulte a lista completa de ações permitidas por cada função interna do Azure.
| Função | Descrição |
|---|---|
| Azure Kubernetes Service RBAC Reader | Permite acesso somente leitura para ver a maioria dos objetos em um namespace. Não permite a visualização de funções ou associações de funções. Não permite a visualização Secrets. A leitura dos Secrets conteúdos permite o acesso a credenciais no namespace, o que permitiria o acesso à API ServiceAccount como qualquer ServiceAccount no namespace (uma forma de escalonamento de privilégios). |
| Escritor RBAC do Serviço Azure Kubernetes | Permite acesso de leitura/gravação à maioria dos objetos em um namespace. Não permite visualizar ou modificar funções ou associações de funções. Permite acessar Secrets e executar pods como qualquer ServiceAccount no namespace, para que possa ser usado para obter os níveis de acesso à API de qualquer ServiceAccount no namespace. |
| Azure Kubernetes Service RBAC Admin | Permite acesso de administrador, destinado a ser concedido dentro de um namespace. Permite acesso de leitura/gravação à maioria dos recursos em um namespace (ou escopo de cluster), incluindo a capacidade de criar funções e associações de função dentro do namespace. Não permite acesso de gravação à cota de recursos ou ao namespace em si. |
| Administrador de Cluster de RBAC do Serviço Azure Kubernetes | Permite o acesso de superusuário para executar qualquer ação em qualquer recurso. Dá controle total sobre todos os recursos no cluster e em todos os namespaces. |
Integração com o Microsoft Entra
Melhore a segurança do seu cluster AKS com a integração do Microsoft Entra. Desenvolvido com base em décadas de gerenciamento de identidades corporativas, o Microsoft Entra ID é um serviço de gerenciamento de diretórios e identidades multilocatário baseado em nuvem que combina serviços de diretório principais, gerenciamento de acesso a aplicativos e proteção de identidade. Com o Microsoft Entra ID, você pode integrar identidades locais em clusters AKS para fornecer uma única fonte de gerenciamento e segurança de contas.
Com os clusters AKS integrados do Microsoft Entra, você pode conceder aos usuários ou grupos acesso aos recursos do Kubernetes dentro de um namespace ou através do cluster.
- Para obter um contexto de
kubectlconfiguração, um utilizador executa o comando az aks get-credentials. - Quando um utilizador interage com
kubectlo cluster AKS, ele é solicitado a iniciar sessão com as suas credenciais do Microsoft Entra.
Essa abordagem fornece uma única fonte para gerenciamento de conta de usuário e credenciais de senha. O usuário só pode acessar os recursos conforme definido pelo administrador do cluster.
A autenticação Microsoft Entra é disponibilizada para os clusters AKS através do OpenID Connect. OpenID Connect é uma camada de identidade construída sobre o protocolo OAuth 2.0. Para obter mais informações sobre o OpenID Connect, consulte a documentação do OpenID Connect. No interior do cluster Kubernetes, Autenticação de Token Webhook é usada para verificar tokens de autenticação. A autenticação do token Webhook é configurada e gerenciada como parte do cluster AKS.
Webhook e servidor API
Como mostrado no gráfico acima, o servidor API chama o servidor de webhook AKS e executa as seguintes etapas:
-
kubectlusa a aplicação cliente Microsoft Entra para autenticar utilizadores com o fluxo OAuth 2.0 de concessão de autorização de dispositivo. - O Microsoft Entra ID fornece um token de acesso, token de identificação e um token de atualização.
- O usuário faz uma solicitação para
kubectlcom um access_token dekubeconfig. -
kubectlenvia o access_token para o API Server. - O Servidor de API é configurado com o Auth WebHook Server para executar a validação.
- O servidor webhook de autenticação confirma que a assinatura do Web Token JSON é válida verificando a chave de assinatura pública do Microsoft Entra.
- Se o usuário for membro de mais de 200 grupos, o aplicativo de servidor usará credenciais fornecidas pelo usuário para consultar associações de grupo do usuário conectado a partir da API do MS Graph. Para usuários com associações de grupo de 200 ou menos, a declaração de grupos já existe no token de cliente. Nenhuma consulta será realizada.
- Uma resposta é enviada ao Servidor de API com informações do usuário, como a declaração UPN (nome principal do usuário) do token de acesso e a associação de grupo do usuário com base na ID do objeto.
- A API executa uma decisão de autorização com base no Kubernetes Role/RoleBinding.
- Uma vez autorizado, o servidor de API retorna uma resposta para
kubectl. -
kubectlfornece feedback ao utilizador.
Saiba como integrar o AKS com o Microsoft Entra ID com o nosso guia de instruções de integração do Microsoft Entra gerenciado pelo AKS.
Permissões do serviço AKS
Ao criar um cluster, o AKS gera ou modifica os recursos de que precisa (como VMs e NICs) para criar e executar o cluster em nome do usuário. Essa identidade é distinta da permissão de identidade do cluster, que é criada durante a criação do cluster.
A identidade que cria e opera as permissões do cluster
As permissões a seguir são necessárias para a identidade que cria e opera o cluster.
| Permissão | Razão |
|---|---|
Microsoft.Compute/diskEncryptionSets/read |
Necessário para ler o ID do conjunto de criptografia de disco. |
Microsoft.Compute/proximityPlacementGroups/write |
É necessário para atualizar os grupos de posicionamento de proximidade. |
Microsoft.Network/applicationGateways/read Microsoft.Network/applicationGateways/write Microsoft.Network/virtualNetworks/subnets/join/action |
Necessário para configurar gateways de aplicativos e ingressar na sub-rede. |
Microsoft.Network/virtualNetworks/subnets/join/action |
Necessário para configurar o Grupo de Segurança de Rede para a sub-rede ao usar uma VNET personalizada. |
Microsoft.Network/publicIPAddresses/join/action Microsoft.Network/publicIPPrefixes/join/action |
Necessário para configurar os IPs públicos de saída no Balanceador de Carga Padrão. |
Microsoft.OperationalInsights/workspaces/sharedkeys/read Microsoft.OperationalInsights/workspaces/read Microsoft.OperationsManagement/solutions/write Microsoft.OperationsManagement/solutions/read Microsoft.ManagedIdentity/userAssignedIdentities/assign/action |
Necessário para criar e atualizar espaços de trabalho do Log Analytics e monitoramento do Azure para contêineres. |
Microsoft.Network/virtualNetworks/joinLoadBalancer/action |
Necessário para configurar os Pools de Back-end do Balanceador de Carga baseados em IP. |
Permissões de identidade do cluster AKS
As permissões a seguir são usadas pela identidade do cluster AKS, que é criada e associada ao cluster AKS. Cada permissão é usada pelos motivos abaixo:
| Permissão | Razão |
|---|---|
Microsoft.ContainerService/managedClusters/* |
Necessário para criar usuários e operar o cluster |
Microsoft.Network/loadBalancers/delete Microsoft.Network/loadBalancers/read Microsoft.Network/loadBalancers/write |
Necessário para configurar o balanceador de carga para um serviço LoadBalancer. |
Microsoft.Network/publicIPAddresses/delete Microsoft.Network/publicIPAddresses/read Microsoft.Network/publicIPAddresses/write |
Necessário para localizar e configurar IPs públicos para um serviço LoadBalancer. |
Microsoft.Network/publicIPAddresses/join/action |
Necessário para configurar IPs públicos para um serviço LoadBalancer. |
Microsoft.Network/networkSecurityGroups/read Microsoft.Network/networkSecurityGroups/write |
Necessário para criar ou excluir regras de segurança para um serviço LoadBalancer. |
Microsoft.Compute/disks/delete Microsoft.Compute/disks/read Microsoft.Compute/disks/write Microsoft.Compute/locations/DiskOperations/read |
Necessário para configurar AzureDisks. |
Microsoft.Storage/storageAccounts/delete Microsoft.Storage/storageAccounts/listKeys/action Microsoft.Storage/storageAccounts/read Microsoft.Storage/storageAccounts/write Microsoft.Storage/operations/read |
Necessário para configurar contas de armazenamento para AzureFile ou AzureDisk. |
Microsoft.Network/routeTables/read Microsoft.Network/routeTables/routes/delete Microsoft.Network/routeTables/routes/read Microsoft.Network/routeTables/routes/write Microsoft.Network/routeTables/write |
Necessário para configurar tabelas de routing e rotas para nós de rede. |
Microsoft.Compute/virtualMachines/read |
Necessário para localizar informações para máquinas virtuais em um VMAS, como zonas, domínio de falha, tamanho e discos de dados. |
Microsoft.Compute/virtualMachines/write |
Necessário para anexar AzureDisks a uma máquina virtual em um VMAS. |
Microsoft.Compute/virtualMachineScaleSets/read Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read Microsoft.Compute/virtualMachineScaleSets/virtualmachines/instanceView/read |
Necessário para localizar informações para máquinas virtuais em um conjunto de dimensionamento de máquina virtual, como zonas, domínio de falha, tamanho e discos de dados. |
Microsoft.Network/networkInterfaces/write |
É necessário adicionar uma máquina virtual em um VMAS a um grupo de endereços de back-end do balanceador de carga. |
Microsoft.Compute/virtualMachineScaleSets/write |
Necessário para adicionar um conjunto de dimensionamento de máquinas virtuais a pools de endereços de backend de um balanceador de carga e expandir nós em um conjunto de dimensionamento de máquinas virtuais. |
Microsoft.Compute/virtualMachineScaleSets/delete |
Necessário para excluir um conjunto de dimensionamento de máquina virtual de um conjunto de endereços de back-end de balanceador de carga e diminuir os nós em um conjunto de dimensionamento de máquina virtual. |
Microsoft.Compute/virtualMachineScaleSets/virtualmachines/write |
Necessário para anexar AzureDisks e adicionar uma máquina virtual de um conjunto de escalamento de máquinas virtuais ao balanceador de carga. |
Microsoft.Network/networkInterfaces/read |
Necessário para pesquisar IPs internos e pools de endereços de back-end do balanceador de carga para máquinas virtuais num VMAS. |
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/networkInterfaces/read |
Necessário para pesquisar IPs internos e pools de endereços de back-end do balanceador de carga para uma máquina virtual num escalonamento de máquinas virtuais. |
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/networkInterfaces/ipconfigurations/publicipaddresses/read |
Necessário para localizar IPs públicos para uma máquina virtual em um conjunto de escala de máquina virtual. |
Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnets/read |
Necessário para verificar se existe uma sub-rede para o balanceador de carga interno em outro grupo de recursos. |
Microsoft.Compute/snapshots/delete Microsoft.Compute/snapshots/read Microsoft.Compute/snapshots/write |
Requerido para configurar instantâneos para AzureDisk. |
Microsoft.Compute/locations/vmSizes/read Microsoft.Compute/locations/operations/read |
Necessário para obter os tamanhos de máquinas virtuais para encontrar os limites de volume do AzureDisk. |
Permissões adicionais de identidade de cluster
Ao criar um cluster com atributos específicos, você precisará das seguintes permissões adicionais para a identidade do cluster. Como essas permissões não são atribuídas automaticamente, você deve adicioná-las à identidade do cluster depois que ele for criado.
| Permissão | Razão |
|---|---|
Microsoft.Network/networkSecurityGroups/write Microsoft.Network/networkSecurityGroups/read |
Obrigatório se estiver usando um grupo de segurança de rede em outro grupo de recursos. Necessário para configurar regras de segurança para um serviço LoadBalancer. |
Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/subnets/join/action |
Obrigatório se estiver usando uma sub-rede em outro grupo de recursos, como uma VNET personalizada. |
Microsoft.Network/routeTables/routes/read Microsoft.Network/routeTables/routes/write |
Obrigatório se estiver usando uma sub-rede associada a uma tabela de rotas em outro grupo de recursos, como uma VNET personalizada com uma tabela de rotas personalizada. Necessário verificar se já existe uma sub-rede no outro grupo de recursos. |
Microsoft.Network/virtualNetworks/subnets/read |
Necessário se estiver usando um balanceador de carga interno em outro grupo de recursos. Necessário para verificar se já existe uma sub-rede para o balanceador de carga interno no grupo de recursos. |
Microsoft.Network/privatednszones/* |
Obrigatório se estiver usando uma zona DNS privada em outro grupo de recursos, como um DNSZone privado personalizado. |
Acesso ao nó AKS
Por padrão, o acesso ao nó não é necessário para o AKS. É necessário o seguinte acesso ao nó, caso um componente específico seja utilizado.
| Acesso | Razão |
|---|---|
kubelet |
Necessário para conceder acesso MSI ao ACR. |
http app routing |
Necessário para permissão de gravação para "nome aleatório".aksapp.io. |
container insights |
Necessário para conceder permissão ao espaço de trabalho do Log Analytics. |
Resumo
Veja a tabela para obter um resumo rápido de como os usuários podem se autenticar no Kubernetes quando a integração do Microsoft Entra está habilitada. Em todos os casos, a sequência de comandos do usuário é:
Execute
az loginpara autenticar-se no Azure.Execute
az aks get-credentialspara baixar credenciais para o cluster em.kube/config.Executar
kubectlcomandos.- O primeiro comando pode acionar a autenticação baseada em navegador para autenticar no cluster, conforme descrito na tabela a seguir.
No portal do Azure, você pode encontrar:
- A Concessão de Função (concessão de função do RBAC do Azure) referida na segunda coluna é mostrada no separador Controle de Acesso.
- O grupo Microsoft Entra Cluster Admin é mostrado na guia Configuração.
- Também encontrado com o nome de parâmetro
--aad-admin-group-object-idsna CLI do Azure.
- Também encontrado com o nome de parâmetro
| Descrição | Atribuição de função necessária | Grupos de administrador do cluster do Microsoft Entra | Quando usar |
|---|---|---|---|
| Login de administrador herdado usando certificado de cliente |
Função de Administrador do Cluster de Serviço do Kubernetes do Azure. Essa função permite az aks get-credentials ser usada com o --admin sinalizador, que baixa um certificado de administrador de cluster herdado (não Microsoft Entra) no ..kube/config Esta é a única finalidade da "Função de Administração do Cluster de Serviço do Kubernetes do Azure". |
n/d | Se você estiver permanentemente bloqueado por não ter acesso a um grupo válido do Microsoft Entra com acesso ao seu cluster. |
| ID do Microsoft Entra com manual de (Cluster)RoleBindings |
Função de Usuário do Cluster de Serviço do Kubernetes do Azure. A função "Utilizador" permite que az aks get-credentials seja utilizada sem a opção --admin. (Este é o único propósito da "Função de Utilizador do Cluster do Serviço Azure Kubernetes".) O resultado, num cluster com suporte para ID do Microsoft Entra, é o download de uma entrada vazia em .kube/config, o que aciona a autenticação baseada no navegador quando é usada pela primeira vez por kubectl. |
O usuário não está em nenhum desses grupos. Como o usuário não está em nenhum grupo de administradores de cluster, seus direitos serão controlados inteiramente por quaisquer RoleBindings ou ClusterRoleBindings que tenham sido configurados por administradores de cluster. Os (Cluster)RoleBindings nomeiam usuários do Microsoft Entra ou grupos do Microsoft Entra como seus subjects. Se tais ligações não tiverem sido configuradas, o usuário não poderá excutar nenhum kubectl comando. |
Se você quiser um controle de acesso refinado e não estiver usando o RBAC do Azure para Autorização do Kubernetes. Observe que o usuário que configura as associações deve fazer login por um dos outros métodos listados nesta tabela. |
| ID do Microsoft Entra por membro do grupo de administração | Mesmo que acima | O usuário é membro de um dos grupos listados aqui. O AKS gera automaticamente um ClusterRoleBinding que vincula todos os grupos listados à cluster-admin função Kubernetes. Assim, os usuários desses grupos podem executar todos os kubectl comandos como cluster-admin. |
Se você quiser conceder convenientemente aos usuários direitos de administrador completos e não estiver usando o RBAC do Azure para autorização do Kubernetes. |
| Microsoft Entra ID utilizando o Azure RBAC para a autorização no Kubernetes | Duas funções: Primeiro, Função de Utilizador do Cluster do Serviço Azure Kubernetes (como mencionado anteriormente). Em segundo lugar, um dos "Azure Kubernetes Service RBAC..." funções listadas acima, ou sua própria alternativa personalizada. |
O campo de funções de administrador na guia Configuração é irrelevante quando o RBAC do Azure para Autorização do Kubernetes está habilitado. | Você está usando o RBAC do Azure para autorização do Kubernetes. Essa abordagem oferece controle refinado, sem a necessidade de configurar RoleBindings ou ClusterRoleBindings. |
Próximos passos
- Para começar a usar o Microsoft Entra ID e o Kubernetes RBAC, consulte Integrar o Microsoft Entra ID com o AKS.
- Para obter as melhores práticas associadas, consulte Práticas recomendadas para autenticação e autorização no AKS.
- Para começar a usar o RBAC do Azure para autorização no Kubernetes, consulte Usar o RBAC do Azure para autorizar o acesso no Cluster do Serviço Kubernetes do Azure (AKS).
- Para começar a proteger seu
kubeconfigarquivo, consulte Limitar o acesso ao arquivo de configuração do cluster. - Para começar a usar identidades gerenciadas no AKS, consulte Usar uma identidade gerenciada no AKS.
Para obter mais informações sobre os principais conceitos de Kubernetes e AKS, consulte os seguintes artigos: