目標叢集上的服務主體輪替
本檔提供在目標 Nexus 叢集上執行服務主體輪替程式的概觀。 與安全性最佳做法一致,應定期輪替安全性主體。 每當服務主體的完整性受到懷疑或已知遭到入侵時,應該立即輪替它。
必要條件
- 必須安裝 [安裝 Azure CLI][installation-instruction] 。
networkcloud
需要 CLI 擴充功能。networkcloud
如果未安裝擴充功能,可以遵循此處所列的步驟來安裝。- 存取目標叢集的 Azure 入口網站。
- 您必須透過 登入與目標叢集相同的訂用帳戶
az login
- 目標叢集必須處於執行中且狀況良好的狀態。
- 服務主體輪替應在設定的認證到期之前執行。
- 服務主體應具有目標叢集訂用帳戶的擁有者許可權。
將次要認證附加至現有的服務主體
列出服務主體的現有認證資訊
az ad app credential list --id "<SP Application (client) ID>"
將次要認證附加至服務主體。 請遵循最佳做法,將產生的產生的密碼複製到安全的地方。
az ad app credential reset --id "<SP Application (client) ID>" --append --display-name "<human-readable description>"
建立新的服務主體
新的服務主體應該在目標叢集訂用帳戶上具有擁有者許可權範圍。
az ad sp create-for-rbac -n "<service principal display name>" --role owner --scopes /subscriptions/<subscription-id>
在目標叢集上輪替服務主體
服務主體可以藉由提供新的資訊,在目標叢集上輪替,該資訊只能是次要認證更新,也可以是目標叢集的新服務主體。
az networkcloud cluster update --resource-group "<resourceGroupName>" --cluster-service-principal application-id="<sp app id>" password="<cleartext password>" principal-id="<sp id>" tenant-id="<tenant id>" -n <cluster name> --subscription <subscription-id>
確認目標叢集上的新服務主體更新
如果服務主體在目標叢集上旋轉,叢集顯示將會列出新的服務主體變更。
az networkcloud cluster show --name "clusterName" --resource-group "resourceGroup"
在輸出中,您可以在 屬性下 clusterServicePrincipal
找到詳細數據。
"clusterServicePrincipal": {
"applicationId": "<sp application id>",
"principalId": "<sp principal id>",
"tenantId": "tenant id"
}
注意
在更新服務主體識別碼時,請確定您使用正確的服務主體標識碼(Azure 中的物件識別符)。 從 Azure 擷取的相同服務主體名稱有兩個不同的物件識別碼,請遵循下列步驟來尋找正確的物件識別碼:
- 請避免從應用程式類型的服務主體擷取對象標識碼,當您在 Azure 入口網站 搜尋列上搜尋服務主體時出現。
- 相反地,在 Azure 服務中的 「企業應用程式」底下搜尋服務主體名稱,以尋找正確的物件標識碼,並將其當做主體標識碼使用。
如果您仍有問題, 請連絡支持人員。 如需支援方案的詳細資訊,請參閱 Azure 支援方案。