Controlar o acesso do cluster usando o Acesso Condicional com a integração do Microsoft Entra gerenciada pelo AKS

Ao integrar o Microsoft Entra ID ao cluster do AKS, você pode usar o Acesso condicional para solicitações just-in-time para controlar o acesso ao cluster. Este artigo mostra como habilitar o Acesso Condicional em seus clusters do AKS.

Observação

O Acesso condicional do Microsoft Entra tem recursos do Microsoft Entra ID P1, P2 ou Microsoft Entra ID Governance que exigem um SKU Premium P2. Para obter mais informações sobre as licenças e SKUs do Microsoft Entra ID, confira os conceitos básicos de licenciamento do Microsoft Entra ID Governance e o guia de preços.

Antes de começar

• Confira Integração do Microsoft Entra gerenciada pelo AKS para obter uma visão geral e instruções de instalação.

Usar o Acesso Condicional com o Microsoft Entra ID e o AKS

1. No portal do Azure, vá para a página do Microsoft Entra ID e selecione Aplicativos Empresariais.
2. SelecioneAcesso Condicional>Políticas>Nova política.
3. Insira um nome para a política, como aks-policy.
4. Em Atribuições, selecione Usuários e Grupos. Escolha os usuários e grupos aos quais deseja aplicar a política. Nesse exemplo, escolha o mesmo grupo do Microsoft Entra que tem acesso de administrador ao seu cluster.
5. Em Aplicativos ou ações de nuvem>Incluir, selecione Selecionar aplicativos. Pesquise Serviço de Kubernetes do Azure e selecione Servidor do Microsoft Entra do Serviço de Kubernetes do Azure.
6. Em Controles de acesso>Conceder, selecione Conceder acesso, Exigir que o dispositivo seja marcado como em conformidade e Exigir que o dispositivo seja marcado como em conformidade.
7. Confirme as configurações, defina Habilitar política como Ativado e, em seguida, selecione Criar.

Verifique se a política de Acesso Condicional foi listada com sucesso

1. Obtenha as credenciais de usuário para acessar o cluster usando o comando az aks get-credentials.

    az aks get-credentials --resource-group myResourceGroup --name myManagedCluster
   

2. Siga as instruções em para entrar.

3. Exiba os nós no cluster usando o comando kubectl get nodes.

   kubectl get nodes
   

4. No portal do Azure, navegue para Microsoft Entra ID e selecione Aplicativos empresariais>Atividade>Logins.

5. Na coluna Acesso Condicional, você deverá ver um status de Sucesso. Selecione o evento e selecione a guia Acesso Condicional. A sua política de Acesso Condicional estará listada.

Próximas etapas

Para obter mais informações, consulte os seguintes artigos:

• Use kubelogin para acessar recursos para autenticação do Azure que não estão disponíveis em kubectl.
• Use o Privileged Identity Management (PIM) para controlar o acesso aos clusters do Serviço de Kubernetes do Azure (AKS).