Red Hat Summit19.3. Microsoft Entra ID 페더레이션 구성
RHACS 통합은 관리 또는 워크로드 ID를 사용하여 Microsoft Azure에 인증할 수 있습니다. Microsoft Azure 통합에서 관리 또는 워크로드 ID를 사용하여 인증을 활성화하려면 새 Microsoft Azure Container Registry(ACR) 통합을 생성하는 동안 워크로드 ID 사용 확인란을 선택합니다.
Azure 관리 ID에 대한 자세한 내용은 Azure 리소스에 대한 관리 ID를 참조하십시오. (Microsoft Azure 설명서).
Azure 워크로드 ID에 대한 자세한 내용은 워크로드 ID 페더레이션( Microsoft Azure 문서)을 참조하십시오.
워크로드 ID를 통해 RHACS Pod와 연결된 ID에는 통합에 대한 IAM 권한이 있어야 합니다. 예를 들어 Microsoft ACR과 통합을 위한 워크로드 ID를 설정하려면 레지스트리가 포함된 범위에 대해 리더 역할을 할당합니다.
Microsoft Azure IAM 역할에 대한 자세한 내용은 Azure RBAC 설명서(Microsoft Azure 설명서 )를 참조하십시오.
19.3.1. Microsoft Azure Kubernetes 서비스 구성
Microsoft Azure Kubernetes Service(AKS)에서 RHACS(Red Hat Advanced Cluster Security for Kubernetes)를 실행하면 Microsoft Entra ID 관리 ID를 사용하여 단기 토큰을 구성할 수 있습니다.
사전 요구 사항
- Microsoft Azure 내에서 클러스터 및 통합 리소스에 액세스할 수 있습니다.
프로세스
Microsoft Entra ID에서 외부 IdP와 사용자가 할당한 관리 ID 또는 애플리케이션 간에 신뢰 관계를 만듭니다.
자세한 내용은 Workload Identity federation (Microsoft Azure 문서)을 참조하십시오.
다음 명령을 실행하여 RHACS 서비스 계정에 주석을 답니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow oc annotate serviceaccount \ central \ --namespace stackrox \ azure.workload.identity/client-id=<CLIENT_ID>$ oc annotate serviceaccount \1 central \2 --namespace stackrox \ azure.workload.identity/client-id=<CLIENT_ID>3 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow serviceaccount/central annotated
serviceaccount/central annotated
19.3.2. OpenShift Container Platform 구성
OpenShift Container Platform에서 RHACS(Red Hat Advanced Cluster Security for Kubernetes)를 실행하면 Microsoft Entra ID 관리 ID를 사용하여 수명이 짧은 토큰을 구성할 수 있습니다.
사전 요구 사항
OpenShift Container Platform 서비스 계정 서명 키가 있는 공개 OpenID Connect(OIDC) 구성 버킷이 있습니다.
자세한 내용은 OpenShift Container Platform 설명서의 "구성 요소에 대한 단기 인증 정보가 있는 "수동 모드 "를 참조하십시오.
- Microsoft Entra ID 사용자가 할당한 관리 ID가 있어야 합니다.
- 역할 할당을 할당할 수 있는 권한이 있는 Microsoft Azure 서브스크립션에 액세스할 수 있습니다.
프로세스
사용자가 할당한 관리 ID ID에 페더레이션 ID 자격 증명을 추가하려면 다음 명령을 실행합니다. 예를 들면 다음과 같습니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow az identity federated-credential create \ --name "${FEDERATED_CREDENTIAL_NAME}" \ --identity-name "${MANAGED_IDENTITY_NAME}" \ --resource-group "${RESOURCE_GROUP}" \ --issuer "${OIDC_ISSUER_URL}" \ --subject system:serviceaccount:stackrox:central \ --audience openshift$ az identity federated-credential create \ --name "${FEDERATED_CREDENTIAL_NAME}" \ --identity-name "${MANAGED_IDENTITY_NAME}" \1 --resource-group "${RESOURCE_GROUP}" \ --issuer "${OIDC_ISSUER_URL}" \2 --subject system:serviceaccount:stackrox:central \3 --audience openshiftMicrosoft Entra ID 관리 ID를 사용하여 수명이 짧은 토큰을 구성하는 방법에 대한 자세한 내용은 외부 ID 공급자를 신뢰하도록 사용자가 할당한 관리 ID 구성(Microsoft Azure 문서)을 참조하십시오.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}