Управление доступом к кластеру с помощью условного доступа с интеграцией Microsoft Entra, управляемой AKS

Интеграция Идентификатора Microsoft Entra с кластером AKS позволяет использовать условный доступ для JIT-запросов для управления доступом к кластеру. В этой статье показано, как включить условный доступ в кластерах AKS.

Примечание.

Условный доступ Microsoft Entra содержит возможности Microsoft Entra ID P1, P2 или управления, требующие номера SKU уровня "Премиум" P2. Дополнительные сведения о лицензиях и номерах SKU для идентификаторов Microsoft Entra см. в разделе Управление идентификацией Microsoft Entra основы лицензирования и руководство по ценам.

Подготовка к работе

• Ознакомьтесь с интеграцией Microsoft Entra, управляемой AKS, для получения общих сведений и инструкций по настройке.

Использование условного доступа с идентификатором Microsoft Entra ID и AKS

1. В портал Azure перейдите на страницу идентификатора Microsoft Entra ID и выберите корпоративные приложения.
2. Выберите новую>политику условного доступа.>
3. Введите имя политики, например aks-policy.
4. В разделе Назначения выберите Пользователи и группы. Выберите пользователей и группы, к которым вы хотите применить политику. В этом примере выберите ту же группу Microsoft Entra, которая имеет доступ администратора к кластеру.
5. В разделе Облачные приложения или действия>Включить выберите Выбрать приложения. Найдите Служба Azure Kubernetes и выберите Служба Azure Kubernetes Microsoft Entra Server.
6. В разделе "Предоставление доступа>" выберите "Предоставить доступ", "Требовать, чтобы устройство было помечено как соответствующее" и "Требовать все выбранные элементы управления".
7. Подтвердите параметры, установите значение "Включить политику" и нажмите кнопку "Создать".

Убедитесь, что политика условного доступа успешно указана

1. Получите учетные данные пользователя для доступа к кластеру az aks get-credentials с помощью команды.

    az aks get-credentials --resource-group myResourceGroup --name myManagedCluster
   

2. Следуйте инструкциям для входа.

3. Просмотрите узлы в кластере kubectl get nodes с помощью команды.

   kubectl get nodes
   

4. В портал Azure перейдите к идентификатору Microsoft Entra и выберите "Корпоративные приложения>">для входа.

5. В столбце условного доступа должно появиться состояние успешности. Выберите событие и перейдите на вкладку условного доступа . Будет указана политика условного доступа.

Следующие шаги

Дополнительные сведения см. в следующих статьях:

• Использование kubelogin для доступа к функциям проверки подлинности Azure, недоступным в kubectl.
• Используйте управление привилегированными пользователями (PIM) для управления доступом к кластерам Служба Azure Kubernetes (AKS).