Dienstprinzipaldrehung auf dem Zielcluster
Dieses Dokument enthält eine Übersicht über den Prozess der Durchführung der Dienstprinzipaldrehung auf dem Ziel-Nexus-Cluster. In Übereinstimmung mit bewährten Methoden für die Sicherheit sollte ein Sicherheitsprinzipal regelmäßig gedreht werden. Wenn die Integrität des Dienstprinzipals vermutet oder als kompromittiert bekannt ist, sollte sie sofort gedreht werden.
Voraussetzungen
- [Azure CLI installieren][Installationsanweisung] muss installiert sein.
- Die
networkcloud
CLI-Erweiterung ist erforderlich. Wenn dienetworkcloud
-Erweiterung nicht installiert ist, kann sie mithilfe der hier aufgeführten Schritte installiert werden. - Zugriff auf das Azure-Portal für das Zielcluster.
- Sie müssen über
az login
bei demselben Abonnement wie Ihr Zielcluster angemeldet sein. - Der Zielcluster muss im Zustand "Ausgeführt" und "Fehlerfrei" sein.
- Die Drehung des Dienstprinzipals sollte vor Ablauf der konfigurierten Anmeldeinformationen ausgeführt werden.
- Dienstprinzipal sollte über Besitzerberechtigungen für das Abonnement des Zielclusters verfügen.
Anfügen sekundärer Anmeldeinformationen an den vorhandenen Dienstprinzipal
Auflisten vorhandener Anmeldeinformationen für den Dienstprinzipal
az ad app credential list --id "<SP Application (client) ID>"
Fügen Sie sekundäre Anmeldeinformationen an den Dienstprinzipal an. Kopieren Sie das resultierende generierte Kennwort an einem sicheren Ort, und folgen Sie den bewährten Methoden.
az ad app credential reset --id "<SP Application (client) ID>" --append --display-name "<human-readable description>"
Erstellen eines neuen Dienstprinzipals
Der neue Dienstprinzipal sollte über den Bereich Besitzerberechtigung für das Zielclusterabonnement verfügen.
az ad sp create-for-rbac -n "<service principal display name>" --role owner --scopes /subscriptions/<subscription-id>
Drehen des Dienstprinzipals im Zielcluster
Der Dienstprinzipal kann auf dem Zielcluster gedreht werden, indem die neuen Informationen bereitgestellt werden, die entweder nur eine sekundäre Aktualisierung der Anmeldeinformationen sein können, oder es könnte der neue Dienstprinzipal für den Zielcluster sein.
az networkcloud cluster update --resource-group "<resourceGroupName>" --cluster-service-principal application-id="<sp app id>" password="<cleartext password>" principal-id="<sp id>" tenant-id="<tenant id>" -n <cluster name> --subscription <subscription-id>
Überprüfen der neuen Dienstprinzipalaktualisierung für den Zielcluster
Die Clusterpräsentation listet die neuen Dienstprinzipaländerungen auf, wenn sie im Zielcluster gedreht wird.
az networkcloud cluster show --name "clusterName" --resource-group "resourceGroup"
In der Ausgabe finden Sie die Details unter clusterServicePrincipal
Eigenschaft.
"clusterServicePrincipal": {
"applicationId": "<sp application id>",
"principalId": "<sp principal id>",
"tenantId": "tenant id"
}
Hinweis
Stellen Sie sicher, dass Sie beim Aktualisieren die richtige Dienstprinzipal-ID(Objekt-ID in Azure) verwenden. Es gibt zwei verschiedene Objekt-IDs, die aus Azure für denselben Dienstprinzipalnamen abgerufen werden können. Führen Sie die folgenden Schritte aus, um die richtige zu finden:
- Vermeiden Sie das Abrufen der Objekt-ID aus dem Dienstprinzipal der Typanwendung, die angezeigt wird, wenn Sie auf der Suchleiste des Azure-Portals nach Dienstprinzipal suchen.
- Suchen Sie stattdessen unter "Unternehmensanwendungen" in Azure Services nach dem Dienstprinzipalnamen, um die richtige Objekt-ID zu finden und sie als Prinzipal-ID zu verwenden.
Sollten Sie weitere Fragen haben, wenden Sie sich an den Support. Weitere Informationen zu Supportplänen finden Sie unter Azure-Supportpläne.