Kontrolowanie dostępu do klastra i węzła za pomocą dostępu warunkowego, dzięki integracji Microsoft Entra z AKS.

Po zintegrowaniu usługi Microsoft Entra ID z klastrem usługi AKS można użyć dostępu warunkowego , aby kontrolować dostęp do płaszczyzny sterowania klastrem i węzłów klastra. W tym artykule pokazano, jak włączyć dostęp warunkowy w klastrach usługi AKS dla dostępu do płaszczyzny sterowania i dostępu SSH do węzłów.

Zanim rozpoczniesz

• Zobacz Integracja Microsoft Entra zarządzana przez AKS w celu przeglądu i instrukcji konfiguracji.
• Aby uzyskać dostęp za pomocą protokołu SSH do węzłów, zobacz Zarządzanie protokołem SSH w celu bezpiecznego dostępu do węzłów usługi Azure Kubernetes Service (AKS), aby skonfigurować protokół SSH oparty na identyfikatorze Entra.

Używanie dostępu warunkowego z identyfikatorem Entra firmy Microsoft i usługą AKS

Dostęp warunkowy umożliwia kontrolowanie dostępu zarówno do płaszczyzny sterowania klastra usługi AKS, jak i dostępu SSH do węzłów klastra.

Konfigurowanie dostępu warunkowego na potrzeby dostępu do płaszczyzny kontroli klastra

1. W witrynie Azure Portal przejdź do strony Microsoft Entra ID i wybierz pozycję Aplikacje dla przedsiębiorstw.
2. Wybierz Dostęp warunkowy>Zasady>Nowe zasady.
3. Wprowadź nazwę zasad, taką jak aks-policy.
4. W obszarze Przypisania wybierz pozycję Użytkownicy i grupy. Wybierz użytkowników i grupy, do których chcesz zastosować zasady. W tym przykładzie wybierz tę samą grupę firmy Microsoft Entra, która ma dostęp administratora do klastra.
5. W obszarze Aplikacje lub akcje>w chmurze Dołącz wybierz pozycję Wybierz aplikacje. Wyszukaj usługę Azure Kubernetes Service i wybierz pozycję Azure Kubernetes Service Microsoft Entra Server.
6. W obszarze Kontrole dostępu>Udziel, wybierz Udziel dostępu, Wymagaj, aby urządzenie było oznaczone jako zgodne i Wymagaj wszystkich wybranych kontroli.
7. Potwierdź ustawienia, ustaw pozycję Włącz zasady na Włączone, a następnie wybierz pozycję Utwórz.

Weryfikowanie dostępu warunkowego na potrzeby dostępu do płaszczyzny sterowania klastrem

Po zaimplementowaniu polityki dostępu warunkowego sprawdź, czy działa zgodnie z oczekiwaniami, uzyskując dostęp do klastra AKS i sprawdzając aktywność logowania.

1. Uzyskaj poświadczenia użytkownika, aby uzyskać dostęp do klastra az aks get-credentials przy użyciu polecenia .

   Przypisz wartości do wymaganych zmiennych środowiskowych. Klaster AKS i grupa zasobów muszą istnieć.

   export RANDOM_SUFFIX=$(head -c 3 /dev/urandom | xxd -p)
   export RESOURCE_GROUP="myResourceGroup$RANDOM_SUFFIX"
   export AKS_CLUSTER="myManagedCluster$RANDOM_SUFFIX"
   

   Pobierz poświadczenia wymagane do uzyskania dostępu do klastra usługi AKS.

   az aks get-credentials --resource-group $RESOURCE_GROUP --name $AKS_CLUSTER --overwrite-existing
   

2. Postępuj zgodnie z instrukcjami, aby się zalogować.

3. Wyświetl węzły w klastrze przy użyciu kubectl get nodes polecenia .

   kubectl get nodes
   

   Wyniki:

   NAME                                         STATUS   ROLES   AGE     VERSION
   aks-nodepool1-xxxxx-vmss000000               Ready    agent   3d2h    v1.xx.x
   aks-nodepool1-xxxxx-vmss000001               Ready    agent   3d2h    v1.xx.x
   

4. W portalu Azure przejdź do Microsoft Entra ID i wybierz Aplikacje przedsiębiorstwa>Aktywność>Logowania.

5. W kolumnie Dostęp warunkowy powinien zostać wyświetlony stan Powodzenie. Wybierz zdarzenie, a następnie wybierz kartę Dostęp warunkowy. Zostaną wyświetlone zasady dostępu warunkowego.

Konfigurowanie dostępu warunkowego na potrzeby dostępu SSH do węzłów klastra

Po włączeniu dostępu SSH opartego na identyfikatorze Entra w węzłach klastra usługi AKS można zastosować zasady dostępu warunkowego, aby kontrolować dostęp SSH do węzłów. Zapewnia to dodatkowe zabezpieczenia, wymuszając zgodność urządzeń, uwierzytelnianie wieloskładnikowe lub inne warunki, zanim użytkownicy będą mogli połączyć się z protokołem SSH w węzłach klastra.

1. W witrynie Azure Portal przejdź do strony Microsoft Entra ID i wybierz pozycję Aplikacje dla przedsiębiorstw.
2. Wybierz Dostęp warunkowy>Zasady>Nowe zasady.
3. Wprowadź nazwę zasad, taką jak aks-node-ssh-policy.
4. W obszarze Przypisania wybierz pozycję Użytkownicy i grupy. Wybierz użytkowników i grupy, do których chcesz zastosować zasady.
5. W obszarze Aplikacje lub akcje>w chmurze Dołącz wybierz pozycję Wybierz aplikacje. Wyszukaj Azure Virtual Machine Sign-In i wybierz Azure Linux Virtual Machine Sign-In (identyfikator aplikacji: ce8a2463-e670-4e94-a441-a26e6d88c3e2).
6. W sekcji Kontrole dostępu>, w części Udziel, wybierz Udziel dostępu, Wymagaj, aby urządzenie było oznaczone jako zgodne, Wymagaj uwierzytelniania wieloskładnikowego i Wymagaj wszystkich wybranych kontrolek.
7. Potwierdź ustawienia, ustaw pozycję Włącz zasady na Włączone, a następnie wybierz pozycję Utwórz.

Zweryfikować dostęp warunkowy w celu uzyskania dostępu SSH do węzłów

Po zaimplementowaniu zasad dostępu warunkowego dla dostępu SSH do węzłów sprawdź, czy działa zgodnie z oczekiwaniami:

1. Upewnij się, że masz odpowiednie uprawnienia RBAC platformy Azure:

   • Rola logowania administratora maszyny wirtualnej na potrzeby dostępu administratora
   • Rola logowania użytkownika maszyny wirtualnej dla nieadministracyjnego dostępu

2. Zainstaluj rozszerzenie SSH dla interfejsu wiersza polecenia platformy Azure:

   az extension add --name ssh
   

3. Połączenie SSH z węzłem przy użyciu uwierzytelniania Entra ID.

   az ssh vm --resource-group $RESOURCE_GROUP --name <node-name>
   

4. Podczas przepływu uwierzytelniania zostanie wyświetlony monit o spełnienie zasad dostępu warunkowego (np. zgodność urządzenia, uwierzytelnianie wieloskładnikowe).

5. Po pomyślnym uwierzytelnieniu, które spełnia wymagania dostępu warunkowego, nastąpi połączenie z węzłem.

6. W portalu Azure przejdź do Microsoft Entra ID i wybierz Aplikacje przedsiębiorstwa>Aktywność>Logowania.

7. Znajdź zdarzenie logowania dla Azure Linux Virtual Machine Sign-In i sprawdź, czy w kolumnie Dostęp warunkowy wyświetla się stan Powodzenie.

Następne kroki

Aby uzyskać więcej informacji, zobacz następujące artykuły:

• Użyj narzędzia kubelogin , aby uzyskać dostęp do funkcji uwierzytelniania platformy Azure, które nie są dostępne w narzędziu kubectl.
• Użyj usługi Privileged Identity Management (PIM), aby kontrolować dostęp do klastrów usługi Azure Kubernetes Service (AKS).