Azure AKS: полный доступ к новому кластеру RBAC с учетными данными get без администратора

Question

Если я создаю совершенно новый кластер AKS RBAC на портале Azure, в группе ресурсов, где у меня есть роль Участник , а затем запускаю az aks get-credentials без флага администратора ,Я могу создавать и удалять модули и пространства имен, читать секреты всего кластера и т. Д., Используя kubectl.Это без первого входа в систему с --admin и создания каких-либо ролей и привязок RBAC.

Что дает мне эти разрешения?Основываясь на обсуждениях I найдено онлайн , версия get-credentials без прав администратора загружает настройки kubeconfig для роли пользователя кластера , котораядолжен разрешить мне войти, но не больше, из коробки.

Answer 1

Мы открыли заявку в службу поддержки и получили ответ: Microsoft подтвердила, что это ошибка и над чем они работают:

Наличие роли администратора Azure Kubernetes Service Cluster не должно позволять вамдо get-credentials с профилем пользователя.Однако есть ошибка, когда сертификат клиента, который мы возвращаем в get-credentials --admin, совпадает с get-credentials.Это в значительной степени означает, что clusterUser так же хорош, как clusterAdmin.

Answer 2

Здесь немного путаницы.Таким образом, если вы создадите кластер с поддержкой RBAC, az aks get-credentials будет использовать конфигурацию администратора (полный доступ).Вам нужно будет войти в систему, создавая роли \ привязки \ учетные записи служб \ users и генерируя kubeconfigs для других пользователей , чтобы они получили именно те разрешения, которые вы хотите им предоставить.

Если вы, однако,создайте кластер с поддержкой RBAC с интеграцией AAD , тогда az aks get-credentials будет извлекать учетные данные на основе вашего пользователя AAD, и это не будет работать (вытягивание будет работать, доступ к k8s не будет), если вы не настроите соответствующие роли \ привязкивнутри к8с.