Steuern des Clusterzugriffs mithilfe von Conditional Access mit AKS-verwalteter Microsoft Entra-Integration

Wenn Sie Microsoft Entra ID in Ihr AKS-Cluster integrieren, können Sie Conditional Access für Just-in-Time-Anforderungen verwenden, um den Zugriff auf Ihr Cluster zu steuern. In diesem Artikel erfahren Sie, wie Sie Conditional Access für Ihre AKS-Cluster aktivieren.

Voraussetzungen

• Eine Übersicht und Einrichtungsanweisungen finden Sie unter AKS-verwaltete Microsoft Entra-Integration.

Verwenden des Bedingten Zugriffs mit Microsoft Entra ID und AKS

1. Wechseln Sie im Azure-Portal zur Seite Microsoft Entra ID und wählen Sie Unternehmensanwendungen aus.
2. Wählen Sie Bedingter Zugriff>Richtlinie>Neue Richtlinie aus.
3. Geben Sie einen Namen für die Richtlinie ein (z. B. AKS-Richtlinie).
4. Klicken Sie unter Zuweisungen auf Benutzer und Gruppen. Wählen Sie Ihre Benutzer und Gruppen aus, auf die Sie die Richtlinie anwenden möchten. Wählen Sie in diesem Beispiel dieselbe Microsoft Entra-Gruppe aus, die Administratorzugriff auf Ihr Cluster hat.
5. Wählen Sie unter Cloud-Apps oder -Aktionen>Einschließen die Option Apps auswählen aus. Suchen Sie nach Azure Kubernetes Service und wählen Sie Azure Kubernetes Service Microsoft Entra Server aus.
6. Wählen Sie unter Zugriffssteuerung>Gewähren die Optionen Zugriff gewähren, Markieren des Geräts als kompatibel erforderlich und Alle ausgewählten Steuerungen anfordern aus.
7. Bestätigen Sie Ihre Einstellungen, legen Sie Richtlinie aktivieren auf Ein fest, und wählen Sie dann Erstellen aus.

Überprüfen, ob Ihre Richtlinie für bedingten Zugriff erfolgreich aufgeführt wurde

1. Rufen Sie die Benutzeranmeldeinformationen für den Zugriff auf den Cluster mit dem Befehl az aks get-credentials ab.

    az aks get-credentials --resource-group myResourceGroup --name myManagedCluster
   

2. Befolgen Sie die Anweisungen zum Anmelden.

3. Verwenden Sie den Befehl kubectl get nodes zum Anzeigen der Knoten im Cluster.

   kubectl get nodes
   

4. Navigieren Sie im Azure-Portal zu Microsoft Entra ID und wählen Sie Unternehmensanwendungen>Aktivität>Anmeldungen aus.

5. In der Spalte Bedingter Zugriff sollte der Status Erfolg angezeigt werden. Wählen Sie das Ereignis und dann die Registerkarte Bedingter Zugriff aus. Ihre Richtlinie für bedingten Zugriff wird aufgeführt.

Nächste Schritte

Weitere Informationen finden Sie in den folgenden Artikeln:

• Verwenden Sie kubelogin, um auf Features der Azure-Authentifizierung zuzugreifen, die in Kubectl nicht verfügbar sind.
• Verwenden Sie Privileged Identity Management (PIM), um den Zugriff auf Ihre Azure Kubernetes Service (AKS)-Cluster zu steuern.