Share via

Rotazione dell'entità servizio nel cluster di destinazione

  • Articolo

Questo documento offre una panoramica sul processo di esecuzione della rotazione dell'entità servizio nel cluster Nexus di destinazione. In linea con le procedure consigliate per la sicurezza, un'entità di sicurezza deve essere ruotata periodicamente. Ogni volta che l'integrità dell'entità servizio viene sospetta o compromessa, deve essere ruotata immediatamente.

Prerequisiti

  1. È necessario installare [Installare l'interfaccia della riga di comando di Azure][installation-instruction].
  2. È necessaria l'estensione dell'interfaccia della networkcloud riga di comando. Se l'estensione networkcloud non è installata, è possibile installarla seguendo i passaggi elencati qui.
  3. Accesso al portale di Azure per il cluster di destinazione.
  4. È necessario accedere alla stessa sottoscrizione del cluster di destinazione tramite az login
  5. Il cluster di destinazione deve essere in esecuzione e integro.
  6. La rotazione dell'entità servizio deve essere eseguita prima della scadenza delle credenziali configurate.
  7. L'entità servizio deve disporre del privilegio di proprietario per la sottoscrizione del cluster di destinazione.

Accodare le credenziali secondarie all'entità servizio esistente

Elencare le informazioni sulle credenziali esistenti per l'entità servizio

az ad app credential list --id "<SP Application (client) ID>"

Aggiungere le credenziali secondarie all'entità servizio. Copiare la password generata risultante in un punto sicuro, seguendo le procedure consigliate.

az ad app credential reset --id "<SP Application (client) ID>" --append --display-name "<human-readable description>"

Creare una nuova entità servizio

La nuova entità servizio deve avere l'ambito dei privilegi di proprietario nella sottoscrizione cluster di destinazione.

az ad sp create-for-rbac -n "<service principal display name>" --role owner --scopes /subscriptions/<subscription-id>

Ruotare l'entità servizio nel cluster di destinazione

È possibile ruotare l'entità servizio nel cluster di destinazione specificando le nuove informazioni, che possono essere solo aggiornamenti delle credenziali secondarie oppure la nuova entità servizio per il cluster di destinazione.

az networkcloud cluster update --resource-group "<resourceGroupName>" --cluster-service-principal application-id="<sp app id>" password="<cleartext password>" principal-id="<sp id>" tenant-id="<tenant id>" -n <cluster name> --subscription <subscription-id>

Verificare il nuovo aggiornamento dell'entità servizio nel cluster di destinazione

Cluster show elenca le nuove modifiche dell'entità servizio se ruotato nel cluster di destinazione.

az networkcloud cluster show --name "clusterName" --resource-group "resourceGroup"

Nell'output è possibile trovare i dettagli nella clusterServicePrincipal proprietà .

"clusterServicePrincipal": {
      "applicationId": "<sp application id>",
      "principalId": "<sp principal id>",
      "tenantId": "tenant id"
    }

Nota

Assicurarsi di usare l'ID entità servizio corretto (ID oggetto in Azure) durante l'aggiornamento. Esistono due ID oggetto diversi recuperabili da Azure per lo stesso nome dell'entità servizio, seguire questa procedura per trovare quello corretto:

  1. Evitare di recuperare l'ID oggetto dall'entità servizio di tipo applicazione visualizzata quando si cerca l'entità servizio nella barra di ricerca portale di Azure.
  2. Cercare invece il nome dell'entità servizio in "Applicazioni aziendali" in Servizi di Azure per trovare l'ID oggetto corretto e usarlo come ID entità.

In caso di domande, contattare il supporto tecnico. Per altre informazioni sui piani di supporto, vedere Piani di supporto di Azure.