Kontrollera klusteråtkomst med villkorlig åtkomst med AKS-hanterad Microsoft Entra-integrering

När du integrerar Microsoft Entra-ID med ditt AKS-kluster kan du använda villkorsstyrd åtkomst för just-in-time-begäranden för att styra åtkomsten till klustret. Den här artikeln visar hur du aktiverar villkorlig åtkomst i dina AKS-kluster.

Kommentar

Villkorsstyrd åtkomst i Microsoft Entra har funktioner för Microsoft Entra ID P1, P2 eller styrning som kräver en Premium P2-SKU. Mer information om Microsoft Entra ID-licenser och SKU:er finns i Microsoft Entra ID Governance licensing fundamentals and pricing guide ( Microsoft Entra ID Governance licensing fundamentals and pricing guide).

Innan du börjar

• Se AKS-hanterad Microsoft Entra-integrering för en översikt och installationsinstruktioner.

Använda villkorlig åtkomst med Microsoft Entra-ID och AKS

1. I Azure-portalen går du till sidan Microsoft Entra-ID och väljer Företagsprogram.
2. Välj Principer för villkorlig åtkomst>>Ny princip.
3. Ange ett namn för principen, till exempel aks-policy.
4. Under Tilldelningar väljer du Användare och grupper. Välj de användare och grupper som du vill tillämpa principen på. I det här exemplet väljer du samma Microsoft Entra-grupp som har administratörsåtkomst till klustret.
5. Under Molnappar eller åtgärder>Inkludera väljer du Välj appar. Sök efter Azure Kubernetes Service och välj Azure Kubernetes Service Microsoft Entra Server.
6. Under Åtkomstkontroller>Bevilja väljer du Bevilja åtkomst, Kräv att enheten markeras som kompatibel och Kräv alla valda kontroller.
7. Bekräfta inställningarna, ange Aktivera princip till På och välj sedan Skapa.

Kontrollera att principen för villkorsstyrd åtkomst har listats

1. Hämta användarautentiseringsuppgifterna för att komma åt klustret med hjälp av az aks get-credentials kommandot .

    az aks get-credentials --resource-group myResourceGroup --name myManagedCluster
   

2. Följ anvisningarna för att logga in.

3. Visa noderna i klustret med kommandot kubectl get nodes .

   kubectl get nodes
   

4. Gå till Microsoft Entra-ID i Azure-portalen och välj Aktivitetsinloggningar> för företagsprogram>.

5. Under kolumnen Villkorsstyrd åtkomst bör du se statusen Lyckades. Välj händelsen och välj sedan fliken Villkorsstyrd åtkomst . Principen för villkorsstyrd åtkomst visas.

Nästa steg

Mer information finns i följande artiklar:

• Använd kubelogin för att komma åt funktioner för Azure-autentisering som inte är tillgängliga i kubectl.
• Använd Privileged Identity Management (PIM) för att styra åtkomsten till dina AKS-kluster (Azure Kubernetes Service).