Steuern des Cluster- und Knoten-Zugriffs über bedingten Zugriff mit AKS-verwalteter Microsoft Entra Integration

Wenn Sie Microsoft Entra-ID in Ihren AKS-Cluster integrieren, können Sie den bedingten Zugriff verwenden, um den Zugriff auf Ihre Clustersteuerungsebene und Clusterknoten zu steuern. In diesem Artikel wird erläutert, wie Sie Conditional Access für Ihre AKS-Cluster sowohl für den Zugriff auf die Steuerebene als auch für den SSH-Zugriff auf Knoten aktivieren.

Hinweis

Microsoft Entra Conditional Access verfügt über Microsoft Entra ID P1-, P2- oder Governancefunktionen, die eine Premium P2-SKU erfordern. Weitere Informationen zu Microsoft Entra ID Lizenzen und SKUs finden Sie unter Microsoft Entra ID Governance-Lizenzierungsgrundlagen und Preisanleitung.

Voraussetzungen

Eine Übersicht und Einrichtungsanweisungen finden Sie unter AKS-verwaltete Microsoft Entra-Integration.
Informationen zum SSH-Zugriff auf Knoten finden Sie unter Manage SSH for secure access to Azure Kubernetes Service (AKS) nodes, um SSH basierend auf Entra ID zu konfigurieren.

Verwenden des Bedingten Zugriffs mit Microsoft Entra ID und AKS

Sie können den bedingten Zugriff verwenden, um den Zugriff auf die AKS-Clustersteuerungsebene und den SSH-Zugriff auf Clusterknoten zu steuern.

Konfigurieren des bedingten Zugriffs für den Zugriff auf die Clustersteuerungsebene

Wechseln Sie im Azure-Portal zur Seite Microsoft Entra ID und wählen Sie Unternehmensanwendungen aus.
Wählen Sie Bedingter Zugriff>Richtlinien>Neue Richtlinie.
Geben Sie einen Namen für die Richtlinie ein (z. B. AKS-Richtlinie).
Klicken Sie unter Zuweisungen auf Benutzer und Gruppen. Wählen Sie Ihre Benutzer und Gruppen aus, auf die Sie die Richtlinie anwenden möchten. Wählen Sie in diesem Beispiel dieselbe Microsoft Entra-Gruppe aus, die Administratorzugriff auf Ihr Cluster hat.
Wählen Sie unter Cloud Apps oder Aktionen>Einschließen die Option Apps auswählen. Suchen Sie nach Azure Kubernetes Service und wählen Sie Azure Kubernetes Service Microsoft Entra Server aus.
Wählen Sie unter Zugriffssteuerung>Gewähren die Optionen Zugriff gewähren, Erfordern, dass das Gerät als konform gekennzeichnet ist und Alle ausgewählten Steuerelemente erfordern.
Bestätigen Sie Ihre Einstellungen, legen Sie Richtlinie aktivieren auf Ein fest, und wählen Sie dann Erstellen aus.

Überprüfen Sie den bedingten Zugriff für den Zugriff auf die Steuerungsebene des Clusters

Überprüfen Sie nach der Implementierung Der Richtlinie für bedingten Zugriff, ob sie wie erwartet funktioniert, indem Sie auf den AKS-Cluster zugreifen und die Anmeldeaktivität überprüfen.

Rufen Sie die Benutzeranmeldeinformationen für den Zugriff auf den Cluster mit dem Befehl az aks get-credentials ab.

Weisen Sie den erforderlichen Umgebungsvariablen Werte zu. Der AKS-Cluster und die Ressourcengruppe müssen vorhanden sein.
```
export RANDOM_SUFFIX=$(head -c 3 /dev/urandom | xxd -p)
export RESOURCE_GROUP="myResourceGroup$RANDOM_SUFFIX"
export AKS_CLUSTER="myManagedCluster$RANDOM_SUFFIX"
```
Laden Sie Anmeldeinformationen herunter, die für den Zugriff auf Ihren AKS-Cluster erforderlich sind.
```
az aks get-credentials --resource-group $RESOURCE_GROUP --name $AKS_CLUSTER --overwrite-existing
```
Befolgen Sie die Anweisungen zum Anmelden.

Verwenden Sie den Befehl kubectl get nodes zum Anzeigen der Knoten im Cluster.

kubectl get nodes

Ergebnisse:

NAME                                         STATUS   ROLES   AGE     VERSION
aks-nodepool1-xxxxx-vmss000000               Ready    agent   3d2h    v1.xx.x
aks-nodepool1-xxxxx-vmss000001               Ready    agent   3d2h    v1.xx.x

Navigieren Sie im Azure-Portal zu Microsoft Entra ID und wählen Sie Unternehmensanwendungen>Aktivität>Sign-ins.
In der Spalte Bedingter Zugriff sollte der Status Erfolg angezeigt werden. Wählen Sie das Ereignis und dann die Registerkarte Bedingter Zugriff aus. Ihre Richtlinie für bedingten Zugriff wird aufgeführt.

Konfigurieren des bedingten Zugriffs für den SSH-Zugriff auf Clusterknoten

Wenn Sie entra-ID-basierten SSH-Zugriff auf Ihre AKS-Clusterknoten aktivieren, können Sie Richtlinien für bedingten Zugriff anwenden, um den SSH-Zugriff auf die Knoten zu steuern. Dies bietet zusätzliche Sicherheit durch Erzwingen der Gerätekompatibilität, der mehrstufigen Authentifizierung oder anderer Bedingungen, bevor Benutzer SSH in Clusterknoten ausführen können.

Wechseln Sie im Azure-Portal zur Seite Microsoft Entra ID und wählen Sie Unternehmensanwendungen aus.
Wählen Sie Bedingter Zugriff>Richtlinien>Neue Richtlinie.
Geben Sie einen Namen für die Richtlinie ein, z. B. aks-node-ssh-policy.
Klicken Sie unter Zuweisungen auf Benutzer und Gruppen. Wählen Sie Ihre Benutzer und Gruppen aus, auf die Sie die Richtlinie anwenden möchten.
Wählen Sie unter Cloud Apps oder Aktionen>Einschließen die Option Apps auswählen. Suchen Sie nach der Anmeldung des virtuellen Azure-Computers , und wählen Sie die Azure Linux Virtual Machine-Anmeldung (Anwendungs-ID : ce8a2463-e670-4e94-a441-a26e6d88c3e2) aus.
Wählen Sie unter Zugriffssteuerung>Gewähren die Optionen Zugriff gewähren, Erfordern, dass das Gerät als konform gekennzeichnet ist, Multi-Faktor-Authentifizierung verlangen und Alle ausgewählten Steuerelemente verlangen.
Bestätigen Sie Ihre Einstellungen, legen Sie Richtlinie aktivieren auf Ein fest, und wählen Sie dann Erstellen aus.

Hinweis

Damit entra-ID-basiertes SSH mit bedingtem Zugriff funktioniert, stellen Sie sicher, dass Ihre AKS-Clusterknoten mit --ssh-access entraidkonfiguriert sind. Weitere Informationen finden Sie unter Verwalten von SSH für den sicheren Zugriff auf Azure Kubernetes Service (AKS)-Knoten.

Bedingten Zugriff für SSH-Zugang zu Knoten überprüfen

Überprüfen Sie nach der Implementierung Ihrer Richtlinie für bedingten Zugriff für SSH-Zugriff auf Knoten, ob sie wie erwartet funktioniert:

Stellen Sie sicher, dass Sie über die entsprechenden Azure RBAC-Berechtigungen verfügen:
- Administratoranmeldungsrolle für virtuelle Computer für den Administratorzugriff
- Rolle "Benutzeranmeldung für virtuelle Computer " für den Nicht-Administratorzugriff
Installieren Sie die SSH-Erweiterung für Azure CLI:
```
az extension add --name ssh
```

SSH in einen Knoten mit der Entra ID-Authentifizierung:

az ssh vm --resource-group $RESOURCE_GROUP --name <node-name>

Während des Authentifizierungsflusses werden Sie aufgefordert, die Richtlinien für den bedingten Zugriff (z. B. Gerätekompatibilität, MFA) zu erfüllen.
Nach erfolgreicher Authentifizierung, die die Anforderungen für den bedingten Zugriff erfüllt, werden Sie mit dem Knoten verbunden.
Navigieren Sie im Azure-Portal zu Microsoft Entra ID und wählen Sie Unternehmensanwendungen>Aktivität>Sign-ins.
Suchen Sie das Anmeldeereignis für die Anmeldung eines virtuellen Azure Linux-Computers , und stellen Sie sicher, dass unter der Spalte "Bedingter Zugriff " der Status " Erfolg" angezeigt wird.

Nächste Schritte

Weitere Informationen finden Sie in den folgenden Artikeln:

Verwenden Sie kubelogin, um auf Features der Azure-Authentifizierung zuzugreifen, die in Kubectl nicht verfügbar sind.
Verwenden Sie Privileged Identity Management (PIM), um den Zugriff auf Ihre Azure Kubernetes Service (AKS) Cluster zu steuern.

Feedback

War diese Seite hilfreich?

Last updated on 2025-12-15