Rotación de entidades de servicio en el clúster de destino

  • Artículo

En este documento se proporciona información general sobre el proceso de realización de la rotación de entidades de servicio en el clúster Nexus de destino. En consonancia con los procedimientos recomendados de seguridad, se debe rotar periódicamente una entidad de seguridad. Cada vez que la integridad de la entidad de servicio es sospechosa o sabe que está en peligro, se debe rotar inmediatamente.

Requisitos previos

  1. Se debe instalar [Instalar la CLI de Azure][installation-instruction].
  2. Se requiere la extensión de la CLI networkcloud. Si la extensión networkcloud no está instalada, se puede instalar siguiendo los pasos que se indican aquí.
  3. Acceso a Azure Portal para el clúster de destino.
  4. Debe iniciar sesión en la misma suscripción que el clúster de destino a través de az login.
  5. El clúster de destino debe estar en ejecución y en buen estado.
  6. La rotación de la entidad de servicio debe realizarse antes de que expiren las credenciales configuradas.
  7. La entidad de servicio debe tener privilegios de propietario en la suscripción del clúster de destino.

Anexar credencial secundaria a la entidad de servicio existente

Enumerar la información de credenciales existentes para la entidad de servicio

az ad app credential list --id "<SP Application (client) ID>"

Anexar credencial secundaria a la entidad de servicio. Copie la contraseña generada resultante en algún lugar seguro, siguiendo los procedimientos recomendados.

az ad app credential reset --id "<SP Application (client) ID>" --append --display-name "<human-readable description>"

Creación de una nueva entidad de servicio

La nueva entidad de servicio debe tener el ámbito de privilegios de propietario en la suscripción del clúster de destino.

az ad sp create-for-rbac -n "<service principal display name>" --role owner --scopes /subscriptions/<subscription-id>

Rotación de la entidad de servicio en el clúster de destino

La entidad de servicio se puede rotar en el clúster de destino proporcionando la nueva información, que puede ser solo la actualización de credenciales secundarias o podría ser la nueva entidad de servicio para el clúster de destino.

az networkcloud cluster update --resource-group "<resourceGroupName>" --cluster-service-principal application-id="<sp app id>" password="<cleartext password>" principal-id="<sp id>" tenant-id="<tenant id>" -n <cluster name> --subscription <subscription-id>

Comprobación de la nueva actualización de la entidad de servicio en el clúster de destino

La presentación del clúster mostrará los cambios de la nueva entidad de servicio si se gira en el clúster de destino.

az networkcloud cluster show --name "clusterName" --resource-group "resourceGroup"

En la salida, puede encontrar los detalles en la propiedad clusterServicePrincipal.

"clusterServicePrincipal": {
      "applicationId": "<sp application id>",
      "principalId": "<sp principal id>",
      "tenantId": "tenant id"
    }

Nota:

Asegúrese de que usa el identificador de entidad de servicio (id. de objeto en Azure) correcto al actualizarlo. Hay dos identificadores de objeto diferentes recuperables de Azure para el mismo nombre de la entidad de servicio, siga estos pasos para encontrar el correcto:

  1. Evite recuperar el identificador de objeto de la entidad de servicio de la aplicación de tipo que aparece al buscar la entidad de servicio en la barra de búsqueda de Azure Portal.
  2. En su lugar, busque el nombre de la entidad de seguridad de servicio en "Aplicaciones empresariales" en Los servicios de Azure para buscar el identificador de objeto correcto y usarlo como identificador de entidad de seguridad.

Si aún tiene alguna pregunta, póngase en contacto con soporte técnico. Para obtener más información sobre los planes de soporte técnico, vea Planes de Soporte técnico de Azure.