Restringir o acesso SSH a máquinas virtuais no AKS habilitado pelo Azure Arc (AKS no Azure Local, versão 23H2)

Aplica-se a: Azure Local, versão 23H2

Este artigo descreve um novo recurso de segurança no AKS Arc que restringe o acesso do Secure Shell Protocol (SSH) a máquinas virtuais (VMs) subjacentes. O recurso limita o acesso a apenas determinados endereços IP e restringe o conjunto de comandos que você pode executar em SSH.

Descrição geral

Atualmente, qualquer pessoa com acesso de administrador ao AKS habilitado pela Arc tem acesso a VMs através de SSH em qualquer máquina. Em alguns cenários, talvez você queira limitar esse acesso, porque o acesso ilimitado dificulta a aprovação da conformidade.

Nota

Atualmente, esse recurso está disponível apenas para uma nova instalação do AKS Arc, e não para atualizações. Apenas uma nova instalação do AKS Arc pode passar os IPs restritos e restringir os comandos que são executados sobre SSH.

Ativar restrições SSH

O comando a seguir limita o conjunto de hosts que podem ser autorizados a serem clientes SSH. Você só pode executar os comandos SSH nesses hosts, e o conjunto de comandos que você pode executar é restrito. Os hosts são projetados através de endereços IP ou através de intervalos CIDR:

az aksarc create --ssh-authorized-ip-ranges CIDR format

O formato CIDR é 0.0.0.0/32.

Esse comando faz duas coisas: limita o escopo do comando e também limita os hosts a partir dos quais esse comando pode ser executado.

Próximos passos

• Restringir o acesso SSH (AKS no Azure Local 22H2)
• Visão geral do AKS ativado pelo Arc