Restringir o acesso SSH a máquinas virtuais no AKS habilitado pelo Azure Arc (AKS no Azure Local, versão 23H2)
Aplica-se a: Azure Local, versão 23H2
Este artigo descreve um novo recurso de segurança no AKS Arc que restringe o acesso SSH (Secure Shell Protocol) a VMs (máquinas virtuais) subjacentes. O recurso limita o acesso a apenas determinados endereços IP e restringe o conjunto de comandos que você pode executar por SSH.
Visão geral
Atualmente, qualquer pessoa com acesso de administrador ao AKS habilitado pelo Arc tem acesso às VMs por meio do SSH em qualquer computador. Em alguns cenários, talvez você queira limitar esse acesso, pois o acesso ilimitado dificulta a aprovação da conformidade.
Observação
Atualmente, essa funcionalidade está disponível apenas para uma nova instalação do AKS Arc e não para atualizações. Somente uma nova instalação do AKS Arc pode passar os IPs restritos e restringir os comandos executados por SSH.
Ativar restrições de SSH
O comando a seguir limita o conjunto de hosts que podem ser autorizados a serem clientes SSH. Você só pode executar os comandos SSH nesses hosts, e o conjunto de comandos que você pode executar é restrito. Os hosts são projetados por meio de endereços IP ou por meio de intervalos CIDR:
az aksarc create --ssh-authorized-ip-ranges CIDR format
O formato CIDR é 0.0.0.0/32.
Esse comando faz duas coisas: limita o escopo do comando e também limita os hosts a partir dos quais esse comando pode ser executado.