Fürthozzáférés szabályozása feltételes hozzáféréssel az AKS által felügyelt Microsoft Entra-integrációval

Amikor integrálja a Microsoft Entra ID-t az AKS-fürttel, a feltételes hozzáférés segítségével igény szerinti kéréseket hajthat végre a fürthöz való hozzáférés szabályozására. Ez a cikk bemutatja, hogyan engedélyezheti a feltételes hozzáférést (Conditional Access) az AKS-fürtökön.

Megjegyzés:

Microsoft Entra feltételes hozzáférés P1, P2 vagy Szabályozási képességekkel rendelkezik, és ehhez Prémium P2 SKU szükséges. A Microsoft Entra ID-licencekkel és termékváltozatokkal kapcsolatos további információkért tekintse meg a Microsoft Entra ID Governance licencelési alapjait és díjszabási útmutatóját.

Mielőtt hozzákezdene

• Tekintse meg az AKS által felügyelt Microsoft Entra-integráció áttekintését és beállítási utasításait.

Feltételes hozzáférés használata Microsoft Entra-azonosítóval és AKS-sel

1. Az Azure Portalon nyissa meg a Microsoft Entra id oldalát, és válassza a Nagyvállalati alkalmazások lehetőséget.
2. Válassza a Feltételes hozzáférési>szabályzatok>új szabályzata lehetőséget.
3. Adja meg a szabályzat nevét, például az aks-policy nevet.
4. A Hozzárendelések csoportban válassza a Felhasználók és csoportok lehetőséget. Válassza ki a házirendet alkalmazni kívánt felhasználókat és csoportokat. Ebben a példában válassza ki ugyanazt a Microsoft Entra csoportot, amely rendszergazdai hozzáféréssel rendelkezik a fürthöz.
5. A Felhőalkalmazások vagy műveletek>belefoglalása területen válassza az Alkalmazások kiválasztása lehetőséget. Keresse meg az Azure Kubernetes Service-t , és válassza az Azure Kubernetes Service Microsoft Entra Servert.
6. A Hozzáférési vezérlők>megadása területen válassza a Hozzáférés engedélyezése, Az eszköz megfelelőként való megjelölésének megkövetelése, valamint az összes kijelölt vezérlő megkövetelése lehetőséget.
7. Erősítse meg a beállításait, állítsa a Házirend engedélyezéseBe állásba, majd válassza a Létrehozás lehetőséget.

Ellenőrizze, hogy a feltételes hozzáférési szabályzat sikeresen szerepel-e a listában

A feltételes hozzáférési szabályzat alkalmazása után ellenőrizze, hogy az a várt módon működik-e az AKS-fürthöz való hozzáféréssel és a bejelentkezési tevékenység áttekintésével.

1. Kérje le a felhasználói hitelesítő adatokat a fürt eléréséhez a az aks get-credentials parancs használatával.

   Rendeljen értékeket a szükséges környezeti változókhoz. Az AKS-fürtnek és az erőforráscsoportnak léteznie kell.

   export RANDOM_SUFFIX=$(head -c 3 /dev/urandom | xxd -p)
   export RESOURCE_GROUP="myResourceGroup$RANDOM_SUFFIX"
   export AKS_CLUSTER="myManagedCluster$RANDOM_SUFFIX"
   

   Töltse le az AKS-fürt eléréséhez szükséges hitelesítő adatokat.

   az aks get-credentials --resource-group $RESOURCE_GROUP --name $AKS_CLUSTER --overwrite-existing
   

2. A bejelentkezéshez kövesse az utasításokat.

3. A kubectl get nodes parancs használatával megtekintheti a fürt csomópontjait.

   kubectl get nodes
   

   Eredmények:

   NAME                                         STATUS   ROLES   AGE     VERSION
   aks-nodepool1-xxxxx-vmss000000               Ready    agent   3d2h    v1.xx.x
   aks-nodepool1-xxxxx-vmss000001               Ready    agent   3d2h    v1.xx.x
   

4. Az Azure Portalon navigáljon a Microsoft Entra ID-hoz, és válassza ki a Vállalati alkalmazások>Tevékenység>Bejelentkezések lehetőséget.

5. A Feltételes hozzáférés oszlopban a Sikeres állapotnak kell megjelennie. Jelölje ki az eseményt, majd válassza a Feltételes hozzáférés lapot. A feltételes hozzáférési szabályzat megjelenik a listában.

Következő lépések

További információkért lásd a következő cikkeket:

• A kubelogin használatával hozzáférhet az Azure-hitelesítés olyan funkcióihoz, amelyek nem érhetők el a kubectlben.
• A Privileged Identity Management (PIM) használatával szabályozhatja az Azure Kubernetes Service-fürtökhöz való hozzáférést.