如果 AKS 群集未与 AAD 集成,默认情况下是否不安全?
Are AKS clusters insecure by default if not integrated with AAD?
我正在阅读 integrating AAD with AKS 上的文档,它似乎不是一个很好的解决方案。它采用在令牌本身中包含组成员身份声明的方法,但在 JWT 中,最多允许 200 个组声明 - 对于大型组织中的用户来说很容易超过,因为这些声明包括可传递的组成员身份。有两种更好的方法:
- 将安全组与服务主体对象中的角色相关联,然后让 AKS 根据 JWT 中的角色做出授权决策 (docs)
- 将 AAD 图 Directory.Read.All 范围添加到 AKS AAD 应用程序,以便 AKS 可以根据请求使用代表流查询组成员身份(需要 AAD 管理员同意,这很烦人,但无论如何)。
由于目前的解决方案不符合我们的需求,我不得不问-如果我们不能将AAD与AKS集成,那么如何保护集群?默认不安全吗?
默认情况下它使用 Kubernetes security model,当您将它与 AAD 集成时没有什么真正改变,您只需将 AAD 原则分配给 Kubernetes 角色。而已。因此,与必须在 kubernetes 中创建用户并授予他们权限相比,使用 AAD 原则管理权限更方便
我正在阅读 integrating AAD with AKS 上的文档,它似乎不是一个很好的解决方案。它采用在令牌本身中包含组成员身份声明的方法,但在 JWT 中,最多允许 200 个组声明 - 对于大型组织中的用户来说很容易超过,因为这些声明包括可传递的组成员身份。有两种更好的方法:
- 将安全组与服务主体对象中的角色相关联,然后让 AKS 根据 JWT 中的角色做出授权决策 (docs)
- 将 AAD 图 Directory.Read.All 范围添加到 AKS AAD 应用程序,以便 AKS 可以根据请求使用代表流查询组成员身份(需要 AAD 管理员同意,这很烦人,但无论如何)。
由于目前的解决方案不符合我们的需求,我不得不问-如果我们不能将AAD与AKS集成,那么如何保护集群?默认不安全吗?
默认情况下它使用 Kubernetes security model,当您将它与 AAD 集成时没有什么真正改变,您只需将 AAD 原则分配给 Kubernetes 角色。而已。因此,与必须在 kubernetes 中创建用户并授予他们权限相比,使用 AAD 原则管理权限更方便