你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
目标群集上的服务主体轮换
本文档概述了在目标 Nexus 群集上执行服务主体轮换的过程。 为了与安全最佳做法保持一致,应定期轮换安全主体。 每当你怀疑或者知道服务主体的完整性受到损害时,都应立即轮换。
先决条件
- 必须[安装 Azure CLI][installation-instruction]。
- 需要
networkcloud
CLI 扩展。 如果未安装networkcloud
扩展,则可以按照此处列出的步骤安装它。 - 访问目标群集的 Azure 门户。
- 必须通过
az login
登录到与目标群集相同的订阅 - 目标群集必须处于正在运行且正常的状态。
- 应在配置的凭据过期之前执行服务主体轮换。
- 服务主体应该对目标群集的订阅拥有所有者权限。
将辅助凭据追加到现有服务主体
列出服务主体的现有凭据信息
az ad app credential list --id "<SP Application (client) ID>"
将辅助凭据追加到服务主体。 请遵循最佳做法将最终生成的密码复制到安全位置。
az ad app credential reset --id "<SP Application (client) ID>" --append --display-name "<human-readable description>"
创建新服务主体
新服务主体应在目标群集订阅上具有所有者权限范围。
az ad sp create-for-rbac -n "<service principal display name>" --role owner --scopes /subscriptions/<subscription-id>
在目标群集上轮换服务主体
可以通过提供新信息在目标群集上轮换服务主体,新信息可以是辅助凭据更新,也可以是目标群集的新服务主体。
az networkcloud cluster update --resource-group "<resourceGroupName>" --cluster-service-principal application-id="<sp app id>" password="<cleartext password>" principal-id="<sp id>" tenant-id="<tenant id>" -n <cluster name> --subscription <subscription-id>
验证目标群集上的新服务主体更新
如果服务主体是在目标群集上轮换的,则群集显示命令将列出新的服务主体更改。
az networkcloud cluster show --name "clusterName" --resource-group "resourceGroup"
在输出中,可以在 clusterServicePrincipal
属性下找到详细信息。
"clusterServicePrincipal": {
"applicationId": "<sp application id>",
"principalId": "<sp principal id>",
"tenantId": "tenant id"
}
注意
确保在更新时使用正确的服务主体 ID(Azure 中的对象 ID)。 对于同一服务主体名称,可以从 Azure 检索两个不同的对象 ID。请按照以下步骤查找正确的对象 ID:
- 避免从应用程序类型的服务主体(在 Azure 门户搜索栏上搜索服务主体时显示)中检索对象 ID。
- 应该在 Azure 服务中的“企业应用程序”下搜索服务主体名称,以找到正确的对象 ID 并将其用作主体 ID。
如果仍有疑问,请联系支持人员。 有关支持计划的详细信息,请参阅Azure 支持计划。