Share via

Rotação da entidade de serviço no cluster de destino

  • Artigo

Este documento fornece uma visão geral sobre o processo de execução da rotação da Entidade de Serviço no cluster Nexus de destino. Em alinhamento com as práticas recomendadas de segurança, uma entidade de segurança deve ser rotativa periodicamente. Sempre que se suspeite ou se saiba que a integridade da entidade de serviço está comprometida, esta deve ser imediatamente alterada.

Pré-requisitos

  1. O [Install Azure CLI][installation-instruction] deve ser instalado.
  2. A networkcloud extensão CLI é necessária. Se a networkcloud extensão não estiver instalada, ela pode ser instalada seguindo as etapas listadas aqui.
  3. Acesso ao portal do Azure para o cluster de destino.
  4. Tem de ter sessão iniciada na mesma subscrição que o cluster de destino através de az login
  5. O cluster de destino deve estar em estado de execução e íntegro.
  6. A rotação da entidade de serviço deve ser executada antes da expiração das credenciais configuradas.
  7. A entidade de serviço deve ter privilégio de proprietário na assinatura do cluster de destino.

Anexar credencial secundária à entidade de serviço existente

Listar informações de credenciais existentes para a entidade de serviço

az ad app credential list --id "<SP Application (client) ID>"

Anexe uma credencial secundária à entidade de serviço. Por favor, copie a senha gerada resultante em algum lugar seguro, seguindo as melhores práticas.

az ad app credential reset --id "<SP Application (client) ID>" --append --display-name "<human-readable description>"

Criar uma nova entidade de serviço

A nova entidade de serviço deve ter o escopo de privilégio de proprietário na assinatura de Cluster de destino.

az ad sp create-for-rbac -n "<service principal display name>" --role owner --scopes /subscriptions/<subscription-id>

Girar a entidade de serviço no cluster de destino

A Entidade de Serviço pode ser girada no Cluster de destino fornecendo as novas informações, que podem ser apenas atualizações de credenciais secundárias ou podem ser a nova Entidade de Serviço para o Cluster de destino.

az networkcloud cluster update --resource-group "<resourceGroupName>" --cluster-service-principal application-id="<sp app id>" password="<cleartext password>" principal-id="<sp id>" tenant-id="<tenant id>" -n <cluster name> --subscription <subscription-id>

Verificar a nova atualização da Entidade de Serviço no Cluster de destino

A apresentação de cluster listará as novas alterações da Entidade de Serviço se ela for girada no Cluster de destino.

az networkcloud cluster show --name "clusterName" --resource-group "resourceGroup"

Na saída, você pode encontrar os detalhes em clusterServicePrincipal propriedade.

"clusterServicePrincipal": {
      "applicationId": "<sp application id>",
      "principalId": "<sp principal id>",
      "tenantId": "tenant id"
    }

Nota

Verifique se você está usando a ID da entidade de serviço correta (ID do objeto no Azure) ao atualizá-la. Há duas IDs de objeto diferentes recuperáveis do Azure para o mesmo nome da Entidade de Serviço, siga estas etapas para encontrar a correta:

  1. Evite recuperar a ID do objeto do aplicativo Service Principal do tipo que aparece quando você pesquisa por entidade de serviço na barra de pesquisa do portal do Azure.
  2. Em vez disso, procure o nome da entidade de serviço em "Aplicativos corporativos" nos Serviços do Azure para localizar a ID do objeto correta e usá-la como ID principal.

Se você ainda tiver dúvidas, entre em contato com o suporte. Para obter mais informações sobre planos de suporte, consulte Planos de suporte do Azure.