広告

kubernetes – セキュリティの概要

infrastructure as code

2020.06.19 2020.06.17

目次

kubernetes 権限設定の概要
1. 権限設定のまとめ
ServiceAccount仕組みの関係図
1. Roleのイメージ図
2. ClusterRoleのイメージ図
最後に

kubernetes 権限設定の概要

Kubernetesの権限設定は管理対象で以下の2つで分けられます。

ServiceAccount：kubernetesクラスタに対する操作権限
- ServiceAccount自体はNamespaceと紐付くリソースです。
SecurityContext：コンテナ(OS)に対する操作権限

また、ServiceAccountの権限設定では、Roleという権限を定義するリソースを使って設定します。
Roleは権限の影響範囲で、以下の2種類

Role：Namespace範囲(Namespace指定して作成する)
ClusterRole：クラスタ全体(Namespace指定不可)

最後に、ServiceAccountとRoleを紐付けするための定義に、以下のBinding用のリソースも必要です。

RoleBinding：ServiceAccountとRoleの紐付け
ClusterRoleBingding：ServiveAccountとClusterRoleの紐付け

権限設定のまとめ

上記の内容を踏まえて、権限設定の概要は以下でまとめられます。

ServiceAccount：kubernetesクラスタに対する操作権限
- Role：Namespace範囲(Namespace指定して作成する)、管理対象もNamespace範囲内
  - RoleBing：ServiceAccountとRoleの紐付け
- ClusterRole：クラスタ全体(Namespace指定不可)、管理対象はNodeなどのクラスタリソースも含む
  - ClusterRoleBing：ServiveAccountとClusterRoleの紐付け
SecurityContext：コンテナ(OS)に対する操作権限

ServiceAccount仕組みの関係図

仕組みの理解をイメージしやすいよう、以下の図を作成しました。
簡単にイメージ作りに役に立ってればと思います。

Roleのイメージ図

ClusterRoleのイメージ図

最後に

今回はkubernetesの権限管理の概要について、ご紹介しました。
次回から、今回の内容を深堀して、それぞれのリソースの詳細について説明していきたいと思います。

ここまで読んでいただいて、お疲れ様でした。

コメント

ホーム
検索
トップ
サイドバー
広告

プロフィール

Microsoft Azure インフラ Customer Engineer

由

日本マイクロソフト在職
-----------------------------
ポジション：
Customer Engineer
-----------------------------
専門エリア：
Azure IaaS (インフラ)
-----------------------------
投稿する内容は自分の専門に関わるものが多いですが、たまに趣味で調べたものも投稿します。

※ 記事の内容はあくまで個人の見解となりますので、ご了承ください。
※ IT 業界歴は 10 年ほどです。

由をフォローする



最近の投稿
Hyper-V 仮想スイッチの設定
Azure 上で疑似 S2S VPN 作成してみる
[Stable diffusion] img2img の使い方
[Stable diffusion] NegativeEmbedding
[Stable diffusion] ControlNet 新機能 reference_only
アーカイブ
カテゴリー
- AI
- Arc
- Authentication
- Automation
- Azure
- AzureMonitor
- GCP
- infrastructure as code
- kubernetes
- Kubernetes 勉強
- Network
- Storage
- Terraform
- VirtualMachine
- Windows Server
メタ情報
広告

タイトルとURLをコピーしました