Acesso a clusters de controlo e nós usando Acesso Condicional com integração Microsoft Entra gerida por AKS

Quando integra o Microsoft Entra ID com o seu cluster AKS, pode usar o Acesso Condicional para controlar o acesso ao plano de controlo do cluster e aos nós do cluster. Este artigo mostra-lhe como ativar o Acesso Condicional nos seus clusters AKS tanto para o acesso ao plano de controlo como para o acesso SSH aos nós.

Antes de começar

• Consulte a integração do Microsoft Entra gerenciada pelo AKS para obter uma visão geral e instruções de configuração.
• Para acesso SSH a nós, veja Gerir SSH para acesso seguro a nós do Azure Kubernetes Service (AKS) para configurar SSH com base no Entra ID.

Usar Acesso Condicional com Microsoft Entra ID e AKS

Podes usar o Acesso Condicional para controlar o acesso tanto ao plano de controlo do cluster AKS como ao SSH aos nós do cluster.

Configurar o Acesso Condicional para o acesso ao plano de controlo do cluster

1. No portal do Azure, vá para a página ID do Microsoft Entra e selecione Aplicativos corporativos.
2. Selecione Acesso Condicional>Políticas>Nova política.
3. Insira um nome para a política, como aks-policy.
4. Em Atribuições, selecione Usuários e grupos. Escolha os usuários e grupos aos quais você deseja aplicar a política. Neste exemplo, escolha o mesmo grupo do Microsoft Entra que tem acesso de administrador ao cluster.
5. Em Aplicações ou ações na nuvem>, selecione Selecionar aplicações. Procure o Serviço Kubernetes do Azure e selecione Azure Kubernetes Service Microsoft Entra Server.
6. Em Controles de acesso>Conceder, selecione Conceder acesso, Exigir que o dispositivo seja marcado como compatível e Exigir todos os controles selecionados.
7. Confirme as configurações, defina Habilitar política como Ativado e selecione Criar.

Verificar Acesso Condicional para o acesso ao plano de controlo do cluster

Depois de implementar sua política de Acesso Condicional, verifique se ela funciona conforme o esperado acessando o cluster AKS e verificando a atividade de login.

1. Obtenha as credenciais do usuário para acessar o cluster usando o az aks get-credentials comando.

   Atribua valores às variáveis de ambiente necessárias. O cluster AKS e o grupo de recursos devem existir.

   export RANDOM_SUFFIX=$(head -c 3 /dev/urandom | xxd -p)
   export RESOURCE_GROUP="myResourceGroup$RANDOM_SUFFIX"
   export AKS_CLUSTER="myManagedCluster$RANDOM_SUFFIX"
   

   Faça download das credenciais necessárias para aceder ao seu cluster AKS.

   az aks get-credentials --resource-group $RESOURCE_GROUP --name $AKS_CLUSTER --overwrite-existing
   

2. Siga as instruções para iniciar sessão.

3. Exiba os nós no cluster usando o kubectl get nodes comando.

   kubectl get nodes
   

   Resultados:

   NAME                                         STATUS   ROLES   AGE     VERSION
   aks-nodepool1-xxxxx-vmss000000               Ready    agent   3d2h    v1.xx.x
   aks-nodepool1-xxxxx-vmss000001               Ready    agent   3d2h    v1.xx.x
   

4. No portal do Azure, navegue até Microsoft Entra ID e selecione Aplicações empresariais>Atividade>Inícios de sessão.

5. Na coluna Acesso Condicional, deve ver um status de Êxito. Selecione o evento e, em seguida, selecione a guia Acesso Condicional. A sua política de Acesso Condicional será listada.

Configurar Acesso Condicional para Acesso SSH a nodos de cluster

Quando ativa o acesso SSH baseado em Entra ID nos seus nós do cluster AKS, pode aplicar políticas de Acesso Condicional para controlar o acesso SSH aos nós. Isto proporciona segurança adicional ao impor conformidade com dispositivos, autenticação multifator ou outras condições antes de os utilizadores poderem fazer SSH nos nós do cluster.

1. No portal do Azure, vá para a página ID do Microsoft Entra e selecione Aplicativos corporativos.
2. Selecione Acesso Condicional>Políticas>Nova política.
3. Insira um nome para a política, como aks-node-ssh-policy.
4. Em Atribuições, selecione Usuários e grupos. Escolha os usuários e grupos aos quais você deseja aplicar a política.
5. Em Aplicações ou ações na nuvem>, selecione Selecionar aplicações. Procure por Azure Virtual Machine Log-In e selecione Azure Linux Virtual Machine Log-In (ID da aplicação: ce8a2463-e670-4e94-a441-a26e6d88c3e2).
6. Em Conceder controlos> de acesso, selecione Conceder acesso, Exija que o dispositivo seja marcado como conforme, Requer autenticação multifator e Requer todos os controlos selecionados.
7. Confirme as configurações, defina Habilitar política como Ativado e selecione Criar.

Verifique o Acesso Condicional para acesso SSH aos nós

Depois de implementar a política de Acesso Condicional para acesso SSH aos nós, verifique se funciona como esperado:

1. Certifique-se de que tem as permissões RBAC do Azure apropriadas:

   • Função de Login do Administrador da Máquina Virtual para acesso de administrador
   • Função de Login de Utilizador de Máquina Virtual para acesso não administrativo

2. Instale a extensão SSH para Azure CLI:

   az extension add --name ssh
   

3. SSH num nó utilizando a autenticação Entra ID:

   az ssh vm --resource-group $RESOURCE_GROUP --name <node-name>
   

4. Durante o fluxo de autenticação, ser-se-á solicitado que satisfaça as políticas de Acesso Condicional (por exemplo, conformidade do dispositivo, MFA).

5. Após uma autenticação bem-sucedida que cumpra os requisitos de Acesso Condicional, serás ligado ao nó.

6. No portal do Azure, navegue até Microsoft Entra ID e selecione Aplicações empresariais>Atividade>Inícios de sessão.

7. Encontre o evento de início de sessão para Azure Linux Virtual Machine Log-In e verifique que, na coluna Acesso Condicional , vê um estado de Sucesso.

Próximos passos

Para obter mais informações, consulte os seguintes artigos:

• Use kubelogin para acessar recursos de autenticação do Azure que não estão disponíveis no kubectl.
• Use o Gerenciamento Privilegiado de Identidades (PIM) para controlar o acesso aos clusters do Serviço Kubernetes do Azure (AKS).