你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

目标群集上的服务主体轮换

本文档概述了在目标 Nexus 群集上执行服务主体轮换的过程。 为了与安全最佳做法保持一致,应定期轮换安全主体。 每当你怀疑或者知道服务主体的完整性受到损害时,都应立即轮换。

先决条件

  1. 必须[安装 Azure CLI][installation-instruction]。
  2. 需要 networkcloud CLI 扩展。 如果未安装 networkcloud 扩展,则可以按照此处列出的步骤安装它。
  3. 访问目标群集的 Azure 门户。
  4. 必须通过 az login 登录到与目标群集相同的订阅
  5. 目标群集必须处于正在运行且正常的状态。
  6. 应在配置的凭据过期之前执行服务主体轮换。
  7. 服务主体应该对目标群集的订阅拥有所有者权限。

将辅助凭据追加到现有服务主体

列出服务主体的现有凭据信息

az ad app credential list --id "<SP Application (client) ID>"

将辅助凭据追加到服务主体。 请遵循最佳做法将最终生成的密码复制到安全位置。

az ad app credential reset --id "<SP Application (client) ID>" --append --display-name "<human-readable description>"

创建新服务主体

新服务主体应在目标群集订阅上具有所有者权限范围。

az ad sp create-for-rbac -n "<service principal display name>" --role owner --scopes /subscriptions/<subscription-id>

在目标群集上轮换服务主体

可以通过提供新信息在目标群集上轮换服务主体,新信息可以是辅助凭据更新,也可以是目标群集的新服务主体。

az networkcloud cluster update --resource-group "<resourceGroupName>" --cluster-service-principal application-id="<sp app id>" password="<cleartext password>" principal-id="<sp id>" tenant-id="<tenant id>" -n <cluster name> --subscription <subscription-id>

验证目标群集上的新服务主体更新

如果服务主体是在目标群集上轮换的,则群集显示命令将列出新的服务主体更改。

az networkcloud cluster show --name "clusterName" --resource-group "resourceGroup"

在输出中,可以在 clusterServicePrincipal 属性下找到详细信息。

"clusterServicePrincipal": {
      "applicationId": "<sp application id>",
      "principalId": "<sp principal id>",
      "tenantId": "tenant id"
    }

注意

确保在更新时使用正确的服务主体 ID(Azure 中的对象 ID)。 对于同一服务主体名称,可以从 Azure 检索两个不同的对象 ID。请按照以下步骤查找正确的对象 ID:

  1. 避免从应用程序类型的服务主体(在 Azure 门户搜索栏上搜索服务主体时显示)中检索对象 ID。
  2. 应该在 Azure 服务中的“企业应用程序”下搜索服务主体名称,以找到正确的对象 ID 并将其用作主体 ID。

如果仍有疑问,请联系支持人员。 有关支持计划的详细信息,请参阅Azure 支持计划