Partager via

Rotation du principal de service sur le cluster cible

  • Article

Ce document fournit une vue d’ensemble du processus d’exécution de la rotation du principal du service sur le cluster Nexus cible. En conformité avec les meilleures pratiques de sécurité, un principal de sécurité doit être pivoté régulièrement. Chaque fois que l’intégrité du principal de service est soupçonnée ou connue pour être compromise, elle doit être pivotée immédiatement.

Prérequis

  1. [Installer Azure CLI][installation-instruction] doit être installé.
  2. L’extension CLI networkcloud est obligatoire. Si l’extension networkcloud n’est pas installée, vous pouvez le faire en suivant les étapes listées ici.
  3. Accès au portail Azure pour le cluster cible.
  4. Vous devez être connecté au même abonnement que votre cluster cible via az login
  5. Le cluster cible doit être en cours d’exécution et en état sain.
  6. La rotation du principal de service doit être effectuée avant l’expiration des informations d’identification configurées.
  7. Le principal de service doit disposer du privilège de propriétaire sur l’abonnement du cluster cible.

Ajouter des informations d’identification secondaires au principal de service existant

Répertorier les informations d’identification existantes pour le principal de service

az ad app credential list --id "<SP Application (client) ID>"

Ajoutez des informations d’identification secondaires au principal de service. Copiez le mot de passe généré généré quelque part en toute sécurité, en suivant les meilleures pratiques.

az ad app credential reset --id "<SP Application (client) ID>" --append --display-name "<human-readable description>"

Créer un principal de service

Le nouveau principal de service doit avoir une étendue de privilège de propriétaire sur l’abonnement de cluster cible.

az ad sp create-for-rbac -n "<service principal display name>" --role owner --scopes /subscriptions/<subscription-id>

Rotation du principal de service sur le cluster cible

Le principal de service peut être pivoté sur le cluster cible en fournissant les nouvelles informations, qui peuvent être uniquement des mises à jour d’informations d’identification secondaires ou le nouveau principal de service pour le cluster cible.

az networkcloud cluster update --resource-group "<resourceGroupName>" --cluster-service-principal application-id="<sp app id>" password="<cleartext password>" principal-id="<sp id>" tenant-id="<tenant id>" -n <cluster name> --subscription <subscription-id>

Vérifier la nouvelle mise à jour du principal de service sur le cluster cible

Le cluster affiche la liste des modifications apportées au nouveau principal de service si elle est pivotée sur le cluster cible.

az networkcloud cluster show --name "clusterName" --resource-group "resourceGroup"

Dans la sortie, vous trouverez les détails sous clusterServicePrincipal propriété.

"clusterServicePrincipal": {
      "applicationId": "<sp application id>",
      "principalId": "<sp principal id>",
      "tenantId": "tenant id"
    }

Remarque

Vérifiez que vous utilisez l’ID de principal de service approprié (ID d’objet dans Azure) lors de sa mise à jour. Il existe deux ID d’objet différents récupérables à partir d’Azure pour le même nom de principal de service, procédez comme suit pour trouver le bon id :

  1. Évitez de récupérer l’ID d’objet à partir du principal de service de type application qui s’affiche lorsque vous recherchez le principal de service dans la barre de recherche du portail Azure.
  2. Au lieu de cela, recherchez le nom du principal de service sous « Applications d’entreprise » dans Azure Services pour rechercher l’ID d’objet correct et l’utiliser comme ID de principal.

Si vous avez toujours des questions, contactez le support. Pour plus d’informations sur les plans de support, consultez les plans de support Azure.