Delen via

Rotatie van service-principal op het doelcluster

  • Artikel

Dit document bevat een overzicht van het proces voor het uitvoeren van service-principalrotatie op het doel-Nexus-cluster. In overeenstemming met aanbevolen beveiligingsprocedures moet een beveiligingsprincipal periodiek worden geroteerd. Wanneer de integriteit van de service-principal wordt vermoed of waarvan bekend is dat deze wordt aangetast, moet deze onmiddellijk worden geroteerd.

Vereisten

  1. De [Azure CLI installeren][installation-instruction] moet zijn geïnstalleerd.
  2. De networkcloud CLI-extensie is vereist. Als de extensie niet is geïnstalleerd, kan deze networkcloud worden geïnstalleerd volgens de stappen die hier worden vermeld.
  3. Toegang tot Azure Portal voor het doelcluster.
  4. U moet zijn aangemeld bij hetzelfde abonnement als uw doelcluster via az login
  5. Het doelcluster moet de status Actief en In orde hebben.
  6. Service-principalrotatie moet worden uitgevoerd voordat de geconfigureerde referenties verlopen.
  7. De service-principal moet eigenaarsbevoegdheden hebben voor het abonnement van het doelcluster.

Secundaire referentie toevoegen aan de bestaande service-principal

Lijst met bestaande referenties voor de service-principal

az ad app credential list --id "<SP Application (client) ID>"

Voeg secundaire referenties toe aan de service-principal. Kopieer het resulterende gegenereerde wachtwoord ergens veilig, volgens de aanbevolen procedures.

az ad app credential reset --id "<SP Application (client) ID>" --append --display-name "<human-readable description>"

Een nieuwe service-principal maken

Nieuwe service-principal moet het bevoegdheidsbereik eigenaar hebben voor het doelclusterabonnement.

az ad sp create-for-rbac -n "<service principal display name>" --role owner --scopes /subscriptions/<subscription-id>

Service-principal draaien op het doelcluster

Service-principal kan worden geroteerd op het doelcluster door de nieuwe informatie op te geven, die alleen secundaire referentie-update kan zijn of de nieuwe service-principal voor het doelcluster kan zijn.

az networkcloud cluster update --resource-group "<resourceGroupName>" --cluster-service-principal application-id="<sp app id>" password="<cleartext password>" principal-id="<sp id>" tenant-id="<tenant id>" -n <cluster name> --subscription <subscription-id>

Controleer de nieuwe update van de service-principal op het doelcluster

In de clusterweergave worden de nieuwe service-principalwijzigingen weergegeven als deze op het doelcluster zijn gedraaid.

az networkcloud cluster show --name "clusterName" --resource-group "resourceGroup"

In de uitvoer vindt u de details onder clusterServicePrincipal eigenschap.

"clusterServicePrincipal": {
      "applicationId": "<sp application id>",
      "principalId": "<sp principal id>",
      "tenantId": "tenant id"
    }

Notitie

Zorg ervoor dat u de juiste service-principal-id (object-id in Azure) gebruikt wanneer u deze bijwerkt. Er zijn twee verschillende object-id's die kunnen worden opgehaald uit Azure voor dezelfde service-principalnaam. Volg deze stappen om de juiste te vinden:

  1. Vermijd het ophalen van de object-id van de service-principal van het type toepassing die wordt weergegeven wanneer u zoekt naar een service-principal op de zoekbalk van Azure Portal.
  2. Zoek in plaats daarvan de naam van de service-principal onder 'Bedrijfstoepassingen' in Azure Services om de juiste object-id te vinden en te gebruiken als principal-id.

Neem contact op met ondersteuning als u nog steeds vragen hebt. Zie Azure-ondersteuningsplannen voor meer informatie over ondersteuningsplannen.