Řízení přístupu ke clusteru pomocí podmíněného přístupu s integrací Microsoft Entra spravovaného službou AKS

Když integrujete Microsoft Entra ID s clusterem AKS, můžete k řízení přístupu ke clusteru použít podmíněný přístup k žádostem za běhu. V tomto článku se dozvíte, jak povolit podmíněný přístup v clusterech AKS.

Poznámka:

Podmíněný přístup Microsoft Entra má funkce Microsoft Entra ID P1, P2 nebo Zásad správného řízení vyžadující skladovou položku Premium P2. Další informace o licencích a cenových úrovních Microsoft Entra ID najdete v průvodci licencováním zásad správného řízení a cenami pro Microsoft Entra ID.

Než začnete

• Přehled a pokyny k nastavení najdete v tématu Integrace Microsoft Entra spravované službou AKS.

Použití podmíněného přístupu s Microsoft Entra ID a AKS

1. Na webu Azure Portal přejděte na stránku Microsoft Entra ID a vyberte Podnikové aplikace.
2. Vyberte Nové zásady> podmíněného přístupu.>
3. Zadejte název zásady, například aks-policy.
4. V části Přiřazení vyberte Uživatelé a skupiny. Vyberte uživatele a skupiny, na které chcete zásadu použít. V tomto příkladu zvolte stejnou skupinu Microsoft Entra, která má přístup správce k vašemu clusteru.
5. V části Cloudové aplikace nebo akce>Zahrnout vyberte Vybrat aplikace. Vyhledejte Azure Kubernetes Service a vyberte Azure Kubernetes Service Microsoft Entra Server.
6. V části Řízení>přístupu udělte, vyberte Udělit přístup, Vyžadovat, aby zařízení bylo označeno jako vyhovující, a Vyžadovat všechny vybrané ovládací prvky.
7. Potvrďte nastavení, nastavte možnost Povolit zásadu na Zapnuto a pak vyberte Vytvořit.

Ověření úspěšného uvedení zásad podmíněného přístupu

1. Pomocí příkazu získejte přihlašovací údaje uživatele pro přístup ke clusteru az aks get-credentials .

    az aks get-credentials --resource-group myResourceGroup --name myManagedCluster
   

2. Podle pokynů se přihlaste.

3. Pomocí příkazu zobrazte uzly v clusteru kubectl get nodes .

   kubectl get nodes
   

4. Na webu Azure Portal přejděte na ID Microsoft Entra a vyberte Přihlášení aktivit>podnikových aplikací.>

5. Ve sloupci Podmíněný přístup by se měl zobrazit stav Úspěch. Vyberte událost a pak vyberte kartu Podmíněný přístup . Zobrazí se vaše zásady podmíněného přístupu.

Další kroky

Další informace najdete v následujících článcích:

• Pomocí kubeloginu můžete získat přístup k funkcím pro ověřování Azure, které nejsou dostupné v kubectl.
• K řízení přístupu ke clusterům Azure Kubernetes Service (AKS) použijte Privileged Identity Management (PIM).