Udostępnij za pośrednictwem


Kontrolowanie dostępu do klastra przy użyciu dostępu warunkowego za pomocą integracji z usługą AKS firmy Microsoft Entra

Po zintegrowaniu usługi Microsoft Entra ID z klastrem usługi AKS możesz użyć dostępu warunkowego dla żądań just in time w celu kontrolowania dostępu do klastra. W tym artykule pokazano, jak włączyć dostęp warunkowy w klastrach usługi AKS.

Uwaga

Dostęp warunkowy firmy Microsoft Entra ma możliwości zarządzania identyfikatorem Entra ID P1, P2 lub ładem wymagającym jednostki SKU Premium P2. Aby uzyskać więcej informacji na temat licencji i jednostek SKU entra firmy Microsoft, zobacz Zarządzanie tożsamością Microsoft Entra przewodnik po licencjonowaniu i cenniku.

Zanim rozpoczniesz

  • Aby zapoznać się z omówieniem i instrukcjami konfiguracji, zobacz Integracja z usługą Microsoft Entra zarządzana przez usługę AKS.

Używanie dostępu warunkowego z identyfikatorem Entra firmy Microsoft i usługą AKS

  1. W witrynie Azure Portal przejdź do strony Microsoft Entra ID i wybierz pozycję Aplikacje dla przedsiębiorstw.
  2. Wybierz pozycję Zasady>dostępu>warunkowego Nowe zasady.
  3. Wprowadź nazwę zasad, taką jak aks-policy.
  4. W obszarze Przypisania wybierz pozycję Użytkownicy i grupy. Wybierz użytkowników i grupy, do których chcesz zastosować zasady. W tym przykładzie wybierz tę samą grupę firmy Microsoft Entra, która ma dostęp administratora do klastra.
  5. W obszarze Aplikacje lub akcje>w chmurze Dołącz wybierz pozycję Wybierz aplikacje. Wyszukaj usługę Azure Kubernetes Service i wybierz pozycję Azure Kubernetes Service Microsoft Entra Server.
  6. W obszarze Kontrola>dostępu Udziel wybierz pozycję Udziel dostępu, Wymagaj, aby urządzenie było oznaczone jako zgodne i Wymagaj wszystkich wybranych kontrolek.
  7. Potwierdź ustawienia, ustaw pozycję Włącz zasady na Włączone, a następnie wybierz pozycję Utwórz.

Sprawdź, czy zasady dostępu warunkowego zostały pomyślnie wyświetlone

  1. Uzyskaj poświadczenia użytkownika, aby uzyskać dostęp do klastra az aks get-credentials przy użyciu polecenia .

     az aks get-credentials --resource-group myResourceGroup --name myManagedCluster
    
  2. Postępuj zgodnie z instrukcjami, aby się zalogować.

  3. Wyświetl węzły w klastrze przy użyciu kubectl get nodes polecenia .

    kubectl get nodes
    
  4. W witrynie Azure Portal przejdź do pozycji Microsoft Entra ID i wybierz pozycję Logowania aktywności>aplikacji>dla przedsiębiorstw.

  5. W kolumnie Dostęp warunkowy powinien zostać wyświetlony stan Powodzenie. Wybierz zdarzenie, a następnie wybierz kartę Dostęp warunkowy. Zostaną wyświetlone zasady dostępu warunkowego.

Następne kroki

Aby uzyskać więcej informacji, zobacz następujące artykuły: