Безопасный доступ к файловому ресурсу Azure с помощью идентификаторов модулей

Question

Безопасный доступ к файловому ресурсу Azure с помощью идентификаторов модулей

Я использовал файлы Azure для совместного использования хранилища между многими модулями в AKS.

В этом кластере у нас есть несколько приложений, я хочу, чтобы доступ к этому хранилищу был безопасным, каждая учетная запись хранилища доступна только через один управляемый пользователем идентификатор, назначенный этим модулям:

использовать идентификаторы стручка
Назначьте нашему управляемому удостоверению роль « Участник общего ресурса SMB для данных файлов хранилища ».

option1: (с использованием идентификатора модуля) Когда мы создаем класс хранения и утверждение постоянного тома, он автоматически создает PV и учетную запись хранения, так как же динамически получить имя этой учетной записи хранения? (IaC с Terraform)

option2: без использования идентификаторов модулей, как мы можем защитить доступ к этой учетной записи хранения из модулей?

0

azure-aks terraform-provider-azure azure-storage-account azure-files aad-pod-identity

Источник

user8781374 29 апр '21 в 13:55

1 ответ

Другие вопросы по тегам azure-aks terraform-provider-azure azure-storage-account azure-files aad-pod-identity

user732771 29 апр '21 в 22:31 2021-04-29 22:31 · Answer 1 · 2021-04-29 22:31

option1:

Вы можете заранее создать учетную запись хранения, назначить роль для учетной записи хранения и использовать storageAccount параметр, чтобы использовать его вместо создания нового.
Вы можете заранее создать группу ресурсов, назначить роль в области группы ресурсов, а затем указать эту группу ресурсов с помощью resourceGroup StorageClass , чтобы убедиться, что учетная запись хранения создана в этой группе ресурсов.

option2 :

Вам нужно будет использовать субъекта-службы или ключ доступа к учетной записи хранения. Вы можете либо получить их из хранилища (например, Azure Key Vault, используя драйвер CSI), либо сохранить их в Kubernetes Secret.