Kubernetesアクセス管理

Okta Privileged AccessのKubernetesアクセス管理機能を利用することで、チームはクラスターのオンボーディング、検出、認証プロセスを自動化できます。

機能

機能 説明

利用できるクラスターをローカルデバイスと同期させる

Okta Privileged Accessクライアントを利用することで、ユーザーはOkta Privileged Accessが管理するクラスターのリスト、コンテキスト、アカウントをローカルkubeconfigファイルと同期させることができます。

クラスター内のOkta Privileged Access認証

チームは、Okta Privileged AccessをOIDC(OpenID Connect)プロバイダーとして使ってOkta資格情報によってクラスターを認証できます。

Terraform統合

OktaPam Terraformプロバイダーを利用することで、チームはOkta Privileged Accessへのクラスターの追加、クラスターがOkta Privileged AccessをIDプロバイダーとして利用するためのOIDC URLの生成、アクセス制御ポリシーの作成の各プロセスを自動化できます。

クラスターアクセス制御

Okta Privileged Access K8sは、クラスターに対する詳細なアクセス制御を提供します。チームは、各クラスターにラベルセレクターを割り当てて、特定のOkta Privileged Accessグループに関連付けられるクラスターグループを作成できます。これらのセレクターは、特定のクラスターにアクセスできるOkta Privileged Accessグループを制御します。

プロセスの最小限の説明

K8sクラスターの作成と管理は、引き続きチームによって制御されます。Okta Privileged Accessは、クラスターの検出と認証のみに使用されます。ユーザーは、クラスターとのやり取りに、引き続き使い慣れたkubectlなどのツールを利用できます。

使用状況

Okta Privileged AccessのKubernetesアクセス管理機能は、次のシナリオで最大の価値を提供します。

機能 説明
組織のセキュリティポリシーに準拠しながら、Kubernetesクラスターでホスティングされるアプリケーションのデプロイとトラブルシューティングを行う 組織は、各開発者がアクセスできるクラスターと、各クラスターに付与されるアクセスレベルをOktaグループメンバーシップを使って決定できます。

Oktaが提供するユーザーライフサイクル管理機能を利用する組織は、Kubernetesインフラストラクチャに対するユーザーアクセスの割り当て/取り消しをほぼリアルタイムに行うことができます。

開発者が特定のクラスターにアクセスしたことがない場合でも、アクセス可能なKubernetesクラスターに関するインサイトを開発者に提供する

これは、新しい開発者のオンボーディングや、新規環境にデプロイされた新規クラスターへのアクセスに利用できる可能性がある

Okta Privileged Accessクライアントは、開発者のkubeconfigファイル内のコンテキストを作成、管理できます。これにより、開発者はアクセス可能なクラスターを、使い慣れたkubectlコマンドによって簡単に確認できます。

開発者は、新規クラスターのオンボーディング時にkubeconfigファイルを手動で管理したり、内部のwikiページを調べる必要がなくなります。

開発者アクセス向けカスタムラッパースクリプトとツールのサポートに要するクラスターオペレーターの作業を削減する

クラスター認証トークンを管理する必要はなくなります。クラスターの検出とアクセスはローカルkubeconfigファイルを使って管理され、認証は開発者のOkta IDに関連付けられます。

クラスターのデプロイ場所(クラウド/ハイブリッド/オンプレミス)に関係なく、Kubernetesインフラストラクチャに対する認証について一貫したエンドユーザーエクスペリエンスを提供する

開発者は、IaaS管理のKubernetesサービスにアクセスするために、または、自己管理/IaaS管理のクラスターにアクセスする際の各種認証方法の切り替えのために複数のツールを使用する必要がなくなります。各自のOkta IDを利用することで、シンプルな開発者エクスペリエンスと一貫的な認証エクスペリエンスが得られます。

制限事項

  • Okta Privileged AccessのKubernetesアクセス管理を構成するためのすべての管理操作は、OktaPAM Terraformプロバイダーを備えたTerraformを使って行う必要があります。
  • 利用可能クラスターのリストをクライアントが更新するのは、Oktaアカウントによる認証を必要とするコマンド(sft loginsft k8s list-clustersなど) をユーザーが実行する場合のみです。

関連項目

Kubernetesアクセス管理を構成する

Kubernetesクラスター接続