Rotacja jednostki usługi w klastrze docelowym

  • Artykuł

Ten dokument zawiera omówienie procesu rotacji jednostki usługi w docelowym klastrze Nexus. Zgodnie z najlepszymi rozwiązaniami w zakresie zabezpieczeń podmiot zabezpieczeń powinien być okresowo obracany. Za każdym razem, gdy integralność jednostki usługi jest podejrzewana lub znana ze złamania zabezpieczeń, powinna zostać natychmiast obrócona.

Wymagania wstępne

  1. [Zainstaluj interfejs wiersza polecenia platformy Azure][instrukcja instalacji] musi być zainstalowany.
  2. Rozszerzenie interfejsu networkcloud wiersza polecenia jest wymagane. networkcloud Jeśli rozszerzenie nie jest zainstalowane, można go zainstalować, wykonując kroki wymienione tutaj.
  3. Dostęp do witryny Azure Portal dla klastra docelowego.
  4. Musisz zalogować się do tej samej subskrypcji co klaster docelowy za pośrednictwem az login
  5. Klaster docelowy musi być uruchomiony i w dobrej kondycji.
  6. Rotacja jednostki usługi powinna być wykonywana przed wygaśnięciem skonfigurowanych poświadczeń.
  7. Jednostka usługi powinna mieć uprawnienia właściciela w subskrypcji klastra docelowego.

Dołączanie poświadczeń pomocniczych do istniejącej jednostki usługi

Wyświetlanie listy informacji o istniejących poświadczeniach dla jednostki usługi

az ad app credential list --id "<SP Application (client) ID>"

Dołączanie poświadczeń pomocniczych do jednostki usługi. Skopiuj wynikowe wygenerowane hasło w bezpiecznym miejscu, postępując zgodnie z najlepszymi rozwiązaniami.

az ad app credential reset --id "<SP Application (client) ID>" --append --display-name "<human-readable description>"

Tworzenie nowej jednostki usługi

Nowa jednostka usługi powinna mieć zakres uprawnień właściciela w docelowej subskrypcji klastra.

az ad sp create-for-rbac -n "<service principal display name>" --role owner --scopes /subscriptions/<subscription-id>

Obracanie jednostki usługi w klastrze docelowym

Jednostkę usługi można obracać w docelowym klastrze, podając nowe informacje, które mogą być tylko pomocniczą aktualizacją poświadczeń lub może być nową jednostką usługi dla docelowego klastra.

az networkcloud cluster update --resource-group "<resourceGroupName>" --cluster-service-principal application-id="<sp app id>" password="<cleartext password>" principal-id="<sp id>" tenant-id="<tenant id>" -n <cluster name> --subscription <subscription-id>

Weryfikowanie nowej aktualizacji jednostki usługi w docelowym klastrze

Pokaż klaster wyświetli listę nowych zmian jednostki usługi, jeśli zostanie obrócony w docelowym klastrze.

az networkcloud cluster show --name "clusterName" --resource-group "resourceGroup"

W danych wyjściowych można znaleźć szczegóły we clusterServicePrincipal właściwości .

"clusterServicePrincipal": {
      "applicationId": "<sp application id>",
      "principalId": "<sp principal id>",
      "tenantId": "tenant id"
    }

Uwaga

Upewnij się, że używasz poprawnego identyfikatora jednostki usługi (identyfikatora obiektu na platformie Azure) podczas jego aktualizowania. Istnieją dwa różne identyfikatory obiektów, które można pobrać z platformy Azure dla tej samej nazwy głównej usługi, wykonaj następujące kroki, aby znaleźć właściwy:

  1. Unikaj pobierania identyfikatora obiektu z jednostki usługi typu aplikacji, która jest wyświetlana podczas wyszukiwania jednostki usługi na pasku wyszukiwania w witrynie Azure Portal.
  2. Zamiast tego wyszukaj nazwę główną usługi w obszarze "Aplikacje dla przedsiębiorstw" w usługach platformy Azure, aby znaleźć prawidłowy identyfikator obiektu i użyć go jako identyfikatora podmiotu zabezpieczeń.

Jeśli nadal masz pytania, skontaktuj się z pomocą techniczną. Aby uzyskać więcej informacji na temat planów pomocy technicznej, zobacz Plany pomocy technicznej platformy Azure.