AKS マネージド Microsoft Entra 統合で条件付きアクセスを使用してクラスター アクセスを制御する

Microsoft Entra ID と AKS クラスターを統合すると、Just-In-Time 要求に条件付きアクセスを使って、クラスターへのアクセスを制御できます。 この記事では、AKS クラスターで条件付きアクセスを有効にする方法について説明します。

Note

Microsoft Entra 条件付きアクセスには、Premium P2 SKU を必要とする Microsoft Entra ID P1、P2、または Governance の機能があります。 Microsoft Entra ID のライセンスと SKU について詳しくは、「Microsoft Entra ID ガバナンス ライセンスの基礎」と価格ガイドのページをご覧ください。

開始する前に

• 概要とセットアップ手順については、AKS マネージド Microsoft Entra の統合に関するページを参照してください。

Microsoft Entra ID と AKS で条件付きアクセスを使用する

1. Azure portal で、[Microsoft Entra ID] ページに移動し、[エンタープライズ アプリケーション] を選択します。
2. [条件付きアクセス]>[ポリシー]>[新しいポリシー] の順に選択します。
3. ポリシーの名前を入力します (例: aks-policy)。
4. [割り当て] で、 [ユーザーとグループ] を選択します。 ポリシーを適用するユーザーとグループを選択します。 この例では、クラスターへの管理者アクセス権を持つ同じ Microsoft Entra グループを選びます。
5. [クラウド アプリまたはアクション]>[Include](含める) で、 [アプリを選択] を選択します。 [Azure Kubernetes Service] を検索し、[Azure Kubernetes Service Microsoft Entra Server] を選択します。
6. [アクセスの制御]>[付与] で、[アクセスの付与]、[デバイスは準拠としてマーク済みである必要がある]、[選択したコントロールすべてが必要] を選択します。
7. 設定を確認し、[ポリシーを有効にする] を [オン] に設定し、[作成] を選択します。

条件付きアクセス ポリシーが正常に一覧表示されていることを確認する

1. az aks get-credentials コマンドを使用して、クラスターにアクセスするためのユーザー資格情報を取得します。

    az aks get-credentials --resource-group myResourceGroup --name myManagedCluster
   

2. 手順に従ってサインインします。

3. kubectl get nodes コマンドを使用して、クラスター内のノードを表示します。

   kubectl get nodes
   

4. Azure portal で [Microsoft Entra ID] に移動し、[エンタープライズ アプリケーション]>[アクティビティ]>[サインイン] を選択します。

5. [条件付きアクセス] 列で、状態が[成功] と表示されます。 イベントを選択し、[条件付きアクセス] タブを選択します。条件付きアクセス ポリシーが一覧表示されます。

次のステップ

詳細については、次の記事を参照してください。

• kubelogin を使用して、kubectl では利用できない Azure 認証の機能にアクセスする。
• Privileged Identity Management (PIM) を使用して Azure Kubernetes Service (AKS) クラスターへのアクセスを制御する。