Controllare l'accesso al cluster usando l'accesso condizionale con l'integrazione di Microsoft Entra gestita dal servizio Azure Kubernetes

Integrando Microsoft Entra ID con il cluster del servizio Azure Kubernetes, è possibile usare l'accesso condizionale per le richieste JIT per controllare l'accesso al cluster. Questo articolo illustra come abilitare l'accesso condizionale nei cluster del servizio Azure Kubernetes.

Nota

L'accesso condizionale Microsoft Entra include funzionalità di Microsoft Entra ID P1, P2 o Governance che richiedono uno SKU Premium P2. Per altre informazioni sulle licenze e sugli SKU di Microsoft Entra ID, vedere Nozioni fondamentali sulla gestione delle licenze Microsoft Entra ID Governance e guida ai prezzi.

Operazioni preliminari

• Per una panoramica e per le istruzioni di configurazione, vedere Integrazione di Microsoft Entra gestita dal servizio Azure Kubernetes.

Usare l'accesso condizionale con Microsoft Entra ID e il servizio Azure Kubernetes

1. Nel portale di Azure, passare alla pagina Microsoft Entra ID e selezionare applicazioni aziendali.
2. Selezionare Accesso condizionale>Criteri>Nuovo criterio.
3. Immettere un nome per il criterio, ad esempio aks-policy.
4. In Assegnazioni selezionare Utenti e gruppi. Scegliere gli utenti e i gruppi a cui applicare i criteri. In questo esempio scegliere lo stesso gruppo Microsoft Entra con accesso amministratore al cluster.
5. In Applicazioni cloud o azioni>Includi selezionare Seleziona app. Cercare servizio Azure Kubernetes e selezionare server Microsoft Entra del servizio Azure Kubernetes.
6. In Controlli di accesso>Concedi, selezionare Concedi l'accesso, Richiedi che il dispositivo sia contrassegnato come conforme e Richiedi tutti i controlli selezionati.
7. Confermare le impostazioni, impostare Abilita criterio su Sì e quindi selezionare Crea.

Verificare che i criteri di accesso condizionale siano stati elencati correttamente

1. Ottenere le credenziali utente per accedere al cluster usando il comando az aks get-credentials.

    az aks get-credentials --resource-group myResourceGroup --name myManagedCluster
   

2. Seguire le istruzioni per accedere.

3. Visualizzare i nodi nel cluster usando il comando kubectl get nodes.

   kubectl get nodes
   

4. Nel portale di Azure passare a Microsoft Entra ID e selezionare Applicazioni aziendali>Attività>Accessi.

5. Nella colonna Accesso condizionale verrà visualizzato lo stato Operazione riuscita. Selezionare l'evento e quindi selezionare la scheda Accesso condizionale. Verranno elencati i criteri di accesso condizionale.

Passaggi successivi

Per altre informazioni, vedere gli articoli seguenti:

• Usare kubelogin per accedere alle funzionalità per l'autenticazione di Azure non disponibili in kubectl.
• Usare Privileged Identity Management (PIM) per controllare l'accesso ai cluster servizio Azure Kubernetes (AKS).