Controle o acesso ao cluster usando o Acesso Condicional com a integração do Microsoft Entra gerenciada pelo AKS

Ao integrar o ID do Microsoft Entra ao cluster AKS, você pode usar o Acesso Condicional para solicitações just-in-time para controlar o acesso ao cluster. Este artigo mostra como ativar o Acesso Condicional em seus clusters AKS.

Nota

O Acesso Condicional do Microsoft Entra tem recursos de ID P1, P2 ou Governança do Microsoft Entra que exigem uma SKU Premium P2. Para obter mais informações sobre licenças e SKUs do Microsoft Entra ID, consulte Fundamentos de licenciamento e guia de preços do Microsoft Entra ID Governance.

Antes de começar

• Consulte a integração do Microsoft Entra gerenciada pelo AKS para obter uma visão geral e instruções de configuração.

Usar o Acesso Condicional com o ID do Microsoft Entra e o AKS

1. No portal do Azure, vá para a página ID do Microsoft Entra e selecione Aplicativos corporativos.
2. Selecione Nova política de Políticas>de Acesso>Condicional.
3. Insira um nome para a política, como aks-policy.
4. Em Atribuições, selecione Usuários e grupos. Escolha os usuários e grupos aos quais você deseja aplicar a política. Neste exemplo, escolha o mesmo grupo do Microsoft Entra que tem acesso de administrador ao cluster.
5. Em Aplicações ou ações>na nuvem Incluir, selecione Selecionar aplicações. Procure o Serviço Kubernetes do Azure e selecione Azure Kubernetes Service Microsoft Entra Server.
6. Em Conceder controles>de acesso, selecione Conceder acesso, Exigir que o dispositivo seja marcado como compatível e Exigir todos os controles selecionados.
7. Confirme as configurações, defina Habilitar política como Ativado e selecione Criar.

Verifique se a política de Acesso Condicional foi listada com êxito

1. Obtenha as credenciais do usuário para acessar o cluster usando o az aks get-credentials comando.

    az aks get-credentials --resource-group myResourceGroup --name myManagedCluster
   

2. Siga as instruções para iniciar sessão.

3. Exiba os nós no cluster usando o kubectl get nodes comando.

   kubectl get nodes
   

4. No portal do Azure, navegue até Microsoft Entra ID e selecione Entradas de atividade>de aplicativos>corporativos.

5. Na coluna Acesso Condicional, você verá um status de Êxito. Selecione o evento e, em seguida, selecione a guia Acesso condicional. A sua política de Acesso Condicional será listada.

Próximos passos

Para obter mais informações, consulte os seguintes artigos:

• Use kubelogin para acessar recursos de autenticação do Azure que não estão disponíveis no kubectl.
• Use o Gerenciamento Privilegiado de Identidades (PIM) para controlar o acesso aos clusters do Serviço Kubernetes do Azure (AKS).