Kontrolowanie dostępu do klastra przy użyciu dostępu warunkowego za pomocą integracji z usługą AKS firmy Microsoft Entra
Po zintegrowaniu usługi Microsoft Entra ID z klastrem usługi AKS możesz użyć dostępu warunkowego dla żądań just in time w celu kontrolowania dostępu do klastra. W tym artykule pokazano, jak włączyć dostęp warunkowy w klastrach usługi AKS.
Uwaga
Dostęp warunkowy firmy Microsoft Entra ma możliwości zarządzania identyfikatorem Entra ID P1, P2 lub ładem wymagającym jednostki SKU Premium P2. Aby uzyskać więcej informacji na temat licencji i jednostek SKU entra firmy Microsoft, zobacz Zarządzanie tożsamością Microsoft Entra przewodnik po licencjonowaniu i cenniku.
Zanim rozpoczniesz
- Aby zapoznać się z omówieniem i instrukcjami konfiguracji, zobacz Integracja z usługą Microsoft Entra zarządzana przez usługę AKS.
Używanie dostępu warunkowego z identyfikatorem Entra firmy Microsoft i usługą AKS
- W witrynie Azure Portal przejdź do strony Microsoft Entra ID i wybierz pozycję Aplikacje dla przedsiębiorstw.
- Wybierz pozycję Zasady>dostępu>warunkowego Nowe zasady.
- Wprowadź nazwę zasad, taką jak aks-policy.
- W obszarze Przypisania wybierz pozycję Użytkownicy i grupy. Wybierz użytkowników i grupy, do których chcesz zastosować zasady. W tym przykładzie wybierz tę samą grupę firmy Microsoft Entra, która ma dostęp administratora do klastra.
- W obszarze Aplikacje lub akcje>w chmurze Dołącz wybierz pozycję Wybierz aplikacje. Wyszukaj usługę Azure Kubernetes Service i wybierz pozycję Azure Kubernetes Service Microsoft Entra Server.
- W obszarze Kontrola>dostępu Udziel wybierz pozycję Udziel dostępu, Wymagaj, aby urządzenie było oznaczone jako zgodne i Wymagaj wszystkich wybranych kontrolek.
- Potwierdź ustawienia, ustaw pozycję Włącz zasady na Włączone, a następnie wybierz pozycję Utwórz.
Sprawdź, czy zasady dostępu warunkowego zostały pomyślnie wyświetlone
Uzyskaj poświadczenia użytkownika, aby uzyskać dostęp do klastra
az aks get-credentials
przy użyciu polecenia .az aks get-credentials --resource-group myResourceGroup --name myManagedCluster
Postępuj zgodnie z instrukcjami, aby się zalogować.
Wyświetl węzły w klastrze przy użyciu
kubectl get nodes
polecenia .kubectl get nodes
W witrynie Azure Portal przejdź do pozycji Microsoft Entra ID i wybierz pozycję Logowania aktywności>aplikacji>dla przedsiębiorstw.
W kolumnie Dostęp warunkowy powinien zostać wyświetlony stan Powodzenie. Wybierz zdarzenie, a następnie wybierz kartę Dostęp warunkowy. Zostaną wyświetlone zasady dostępu warunkowego.
Następne kroki
Aby uzyskać więcej informacji, zobacz następujące artykuły:
- Użyj narzędzia kubelogin , aby uzyskać dostęp do funkcji uwierzytelniania platformy Azure, które nie są dostępne w narzędziu kubectl.
- Użyj usługi Privileged Identity Management (PIM), aby kontrolować dostęp do klastrów usługi Azure Kubernetes Service (AKS).
Azure Kubernetes Service