Смена субъекта-службы в целевом кластере
В этом документе представлен обзор процесса поворота субъекта-службы в целевом кластере Nexus. В соответствии с рекомендациями по обеспечению безопасности субъект безопасности должен периодически меняться. В любой момент, когда целостность субъекта-службы подозревается или известно, что она скомпрометирована, она должна быть немедленно изменена.
Необходимые компоненты
- Необходимо установить [установить Azure CLI][инструкция установки].
networkcloud
Требуется расширение CLI.networkcloud
Если расширение не установлено, его можно установить, выполнив указанные здесь действия.- Доступ к портал Azure целевого кластера.
- Необходимо войти в ту же подписку, что и целевой кластер через
az login
- Целевой кластер должен находиться в состоянии выполнения и работоспособности.
- Смена субъекта-службы должна выполняться до истечения срока действия настроенных учетных данных.
- Субъект-служба должен иметь привилегии владельца для подписки целевого кластера.
Добавление дополнительных учетных данных к существующему субъекту-службе
Вывод списка существующих учетных данных для субъекта-службы
az ad app credential list --id "<SP Application (client) ID>"
Добавьте вторичные учетные данные к субъекту-службе. Скопируйте полученный созданный пароль в безопасное место, следуя рекомендациям.
az ad app credential reset --id "<SP Application (client) ID>" --append --display-name "<human-readable description>"
Создание субъект-службы
Новый субъект-служба должен иметь права владельца область в целевой подписке кластера.
az ad sp create-for-rbac -n "<service principal display name>" --role owner --scopes /subscriptions/<subscription-id>
Смена субъекта-службы в целевом кластере
Субъект-служба может быть повернут в целевом кластере, указав новые сведения, которые могут быть только дополнительными обновлениями учетных данных или новым субъектом-службой для целевого кластера.
az networkcloud cluster update --resource-group "<resourceGroupName>" --cluster-service-principal application-id="<sp app id>" password="<cleartext password>" principal-id="<sp id>" tenant-id="<tenant id>" -n <cluster name> --subscription <subscription-id>
Проверка нового обновления субъекта-службы в целевом кластере
В кластере отображается список изменений нового субъекта-службы, если он поворачивается в целевом кластере.
az networkcloud cluster show --name "clusterName" --resource-group "resourceGroup"
В выходных данных можно найти сведения в свойстве clusterServicePrincipal
.
"clusterServicePrincipal": {
"applicationId": "<sp application id>",
"principalId": "<sp principal id>",
"tenantId": "tenant id"
}
Примечание.
Убедитесь, что при обновлении используется правильный идентификатор субъекта-службы (идентификатор объекта в Azure). Существует два разных идентификатора объектов, извлекаемых из Azure для одного и того же имени субъекта-службы, выполните следующие действия, чтобы найти правильный:
- Избегайте извлечения идентификатора объекта из приложения типа субъекта-службы, которое отображается при поиске субъекта-службы в строке поиска портал Azure.
- Вместо этого найдите имя субъекта-службы в разделе "Корпоративные приложения" в службах Azure, чтобы найти правильный идентификатор объекта и использовать его в качестве основного идентификатора.
Если у вас по-прежнему есть вопросы, обратитесь в службу поддержки. Дополнительные сведения о планах поддержки см . в планах поддержки Azure.