如果未与AAD集成,则默认情况下AKS群集是否不安全?

时间:2019-07-19 19:41:40

标签: azure-kubernetes

我正在阅读integrating AAD with AKS上的文档,但这似乎不是一个很好的解决方案。它采用了在令牌本身中包含组成员资格声明的方法,但是在JWT中,最多允许200个组声明-由于大型组织中的用户声明包含可传递的组成员资格,因此对于大型组织中的用户来说,这很容易超过。有两种优越的方法:

  1. 将安全组与服务主体对象中的角色相关联,然后让AKS根据JWT(docs)中的角色来做出授权决策
  2. 将AAD Graph Directory.Read.All范围添加到AKS AAD应用程序,以便AKS可以根据请求以流的形式查询组成员身份(需要AAD管理员同意,这很烦人,但是无论如何)。

由于当前的解决方案无法满足我们的需求,因此我不得不问-如果我们无法将AAD与AKS集成在一起,那么如何保护群集?默认情况下不安全吗?

1 个答案:

答案 0 :(得分:1)

默认情况下使用Kubernetes security model,将其与AAD集成时,什么都没有真正改变,您只需将AAD原理分配给Kubernetes角色即可。而已。因此,它与AAD集成不再安全,与必须在kubernetes中创建用户并为其授予权限相比,使用AAD原理管理权限更加方便

相关问题
最新问题