使用條件式存取搭配 AKS 管理Microsoft Entra 整合來控制叢集存取

當您將Microsoft Entra ID 與 AKS 叢集整合時，您可以使用 條件式存取 來控制叢集的存取。 本文說明如何在 AKS 叢集上啟用條件式存取。

注意

Microsoft Entra 條件式存取Microsoft需要進階 P2 SKU 的 Entra ID P1、P2 或治理功能。 如需 Microsoft Entra ID 授權和 SKU 的詳細資訊，請參閱 Microsoft Entra ID Governance 授權基本概念和定價指南。

開始之前

• 如需概觀和設定指示，請參閱 AKS 管理的 Microsoft Entra 整合。

搭配 Microsoft Entra ID 和 AKS 使用條件式存取

1. 在 Azure 入口網站中，移至 [Microsoft Entra ID] 頁面，然後選取 [企業應用程式]。
2. 選取 [條件式存取]>[原則]>[新增原則]。
3. 輸入原則的名稱，例如 aks-policy。
4. 在 [指派] 下，選取 [使用者和群組]。 選擇您要套用原則的使用者和群組。 在此範例中，選擇對您的叢集擁有管理員存取權的相同 Microsoft Entra 群組。
5. 在 [雲端應用程式或動作] > [包括] 底下，選取 [選取應用程式]。 搜尋 Azure Kubernetes Service，然後選取 [Azure Kubernetes Service Microsoft Entra 伺服器]。
6. 在 [存取控制]>[授與] 底下，選取 [授與存取權]、[裝置需要標記為符合規範] 和 [需要所有選取的控制項]。
7. 確認設定並將 [啟用原則] 設定為 [開啟]，然後選取 [建立]。

確認您的條件式存取原則已成功列出

1. 使用 az aks get-credentials 命令，取得使用者認證以存取叢集。

    az aks get-credentials --resource-group myResourceGroup --name myManagedCluster
   

2. 遵循指示進行登入。

3. 使用 kubectl get nodes 命令，檢視叢集中的節點。

   kubectl get nodes
   

4. 在 Azure 入口網站中，導覽至 [Microsoft Entra ID] 頁面，然後選取 [企業應用程式]>[活動]>[登入]。

5. 在 [條件式存取] 資料行下方，您應該會看到 [成功] 狀態。 選取事件，然後選取 [條件式存取] 索引標籤。即會列出您的條件式存取原則。

下一步

如需詳細資訊，請參閱下列文章：

• 使用 kubelogin 存取 kubectl 中無法使用的 Azure 驗證功能。
• 使用 Privileged Identity Management （PIM） 來控制 Azure Kubernetes Service （AKS） 叢集的存取權。