Поделиться через


Смена субъекта-службы в целевом кластере

В этом документе представлен обзор процесса поворота субъекта-службы в целевом кластере Nexus. В соответствии с рекомендациями по обеспечению безопасности субъект безопасности должен периодически меняться. В любой момент, когда целостность субъекта-службы подозревается или известно, что она скомпрометирована, она должна быть немедленно изменена.

Необходимые компоненты

  1. Необходимо установить [установить Azure CLI][инструкция установки].
  2. networkcloud Требуется расширение CLI. networkcloud Если расширение не установлено, его можно установить, выполнив указанные здесь действия.
  3. Доступ к портал Azure целевого кластера.
  4. Необходимо войти в ту же подписку, что и целевой кластер через az login
  5. Целевой кластер должен находиться в состоянии выполнения и работоспособности.
  6. Смена субъекта-службы должна выполняться до истечения срока действия настроенных учетных данных.
  7. Субъект-служба должен иметь привилегии владельца для подписки целевого кластера.

Добавление дополнительных учетных данных к существующему субъекту-службе

Вывод списка существующих учетных данных для субъекта-службы

az ad app credential list --id "<SP Application (client) ID>"

Добавьте вторичные учетные данные к субъекту-службе. Скопируйте полученный созданный пароль в безопасное место, следуя рекомендациям.

az ad app credential reset --id "<SP Application (client) ID>" --append --display-name "<human-readable description>"

Создание субъект-службы

Новый субъект-служба должен иметь права владельца область в целевой подписке кластера.

az ad sp create-for-rbac -n "<service principal display name>" --role owner --scopes /subscriptions/<subscription-id>

Смена субъекта-службы в целевом кластере

Субъект-служба может быть повернут в целевом кластере, указав новые сведения, которые могут быть только дополнительными обновлениями учетных данных или новым субъектом-службой для целевого кластера.

az networkcloud cluster update --resource-group "<resourceGroupName>" --cluster-service-principal application-id="<sp app id>" password="<cleartext password>" principal-id="<sp id>" tenant-id="<tenant id>" -n <cluster name> --subscription <subscription-id>

Проверка нового обновления субъекта-службы в целевом кластере

В кластере отображается список изменений нового субъекта-службы, если он поворачивается в целевом кластере.

az networkcloud cluster show --name "clusterName" --resource-group "resourceGroup"

В выходных данных можно найти сведения в свойстве clusterServicePrincipal .

"clusterServicePrincipal": {
      "applicationId": "<sp application id>",
      "principalId": "<sp principal id>",
      "tenantId": "tenant id"
    }

Примечание.

Убедитесь, что при обновлении используется правильный идентификатор субъекта-службы (идентификатор объекта в Azure). Существует два разных идентификатора объектов, извлекаемых из Azure для одного и того же имени субъекта-службы, выполните следующие действия, чтобы найти правильный:

  1. Избегайте извлечения идентификатора объекта из приложения типа субъекта-службы, которое отображается при поиске субъекта-службы в строке поиска портал Azure.
  2. Вместо этого найдите имя субъекта-службы в разделе "Корпоративные приложения" в службах Azure, чтобы найти правильный идентификатор объекта и использовать его в качестве основного идентификатора.

Если у вас по-прежнему есть вопросы, обратитесь в службу поддержки. Дополнительные сведения о планах поддержки см . в планах поддержки Azure.