Steuern des Clusterzugriffs mithilfe von Conditional Access mit AKS-verwalteter Microsoft Entra-Integration
Wenn Sie Microsoft Entra ID in Ihr AKS-Cluster integrieren, können Sie Conditional Access für Just-in-Time-Anforderungen verwenden, um den Zugriff auf Ihr Cluster zu steuern. In diesem Artikel erfahren Sie, wie Sie Conditional Access für Ihre AKS-Cluster aktivieren.
Hinweis
Microsoft Entra Conditional Access verfügt über Microsoft Entra ID P1-, P2- oder Governancefunktionen, die eine Premium P2-SKU erfordern. Weitere Informationen zu Microsoft Entra ID Lizenzen und SKUs finden Sie unter Grundlagen zu Microsoft Entra ID Governance Lizenzierung und Preisgestaltung.
Voraussetzungen
- Eine Übersicht und Einrichtungsanweisungen finden Sie unter AKS-verwaltete Microsoft Entra-Integration.
Verwenden des Bedingten Zugriffs mit Microsoft Entra ID und AKS
- Wechseln Sie im Azure-Portal zur Seite Microsoft Entra ID und wählen Sie Unternehmensanwendungen aus.
- Wählen Sie Bedingter Zugriff>Richtlinie>Neue Richtlinie aus.
- Geben Sie einen Namen für die Richtlinie ein (z. B. AKS-Richtlinie).
- Klicken Sie unter Zuweisungen auf Benutzer und Gruppen. Wählen Sie Ihre Benutzer und Gruppen aus, auf die Sie die Richtlinie anwenden möchten. Wählen Sie in diesem Beispiel dieselbe Microsoft Entra-Gruppe aus, die Administratorzugriff auf Ihr Cluster hat.
- Wählen Sie unter Cloud-Apps oder -Aktionen>Einschließen die Option Apps auswählen aus. Suchen Sie nach Azure Kubernetes Service und wählen Sie Azure Kubernetes Service Microsoft Entra Server aus.
- Wählen Sie unter Zugriffssteuerung>Gewähren die Optionen Zugriff gewähren, Markieren des Geräts als kompatibel erforderlich und Alle ausgewählten Steuerungen anfordern aus.
- Bestätigen Sie Ihre Einstellungen, legen Sie Richtlinie aktivieren auf Ein fest, und wählen Sie dann Erstellen aus.
Überprüfen, ob Ihre Richtlinie für bedingten Zugriff erfolgreich aufgeführt wurde
Rufen Sie die Benutzeranmeldeinformationen für den Zugriff auf den Cluster mit dem Befehl
az aks get-credentials
ab.az aks get-credentials --resource-group myResourceGroup --name myManagedCluster
Befolgen Sie die Anweisungen zum Anmelden.
Verwenden Sie den Befehl
kubectl get nodes
zum Anzeigen der Knoten im Cluster.kubectl get nodes
Navigieren Sie im Azure-Portal zu Microsoft Entra ID und wählen Sie Unternehmensanwendungen>Aktivität>Anmeldungen aus.
In der Spalte Bedingter Zugriff sollte der Status Erfolg angezeigt werden. Wählen Sie das Ereignis und dann die Registerkarte Bedingter Zugriff aus. Ihre Richtlinie für bedingten Zugriff wird aufgeführt.
Nächste Schritte
Weitere Informationen finden Sie in den folgenden Artikeln:
- Verwenden Sie kubelogin, um auf Features der Azure-Authentifizierung zuzugreifen, die in Kubectl nicht verfügbar sind.
- Verwenden Sie Privileged Identity Management (PIM), um den Zugriff auf Ihre Azure Kubernetes Service (AKS)-Cluster zu steuern.
Azure Kubernetes Service