Control del acceso al clúster mediante el acceso condicional con la integración de Microsoft Entra administrado por AKS
Al integrar Microsoft Entra ID con el clúster de AKS, puede usar el acceso condicional para las solicitudes Just-In-Time para controlar el acceso al clúster. En este artículo se muestra cómo habilitar el acceso condicional en los clústeres de AKS.
Nota:
El acceso condicional de Microsoft Entra tiene funcionalidades de Microsoft Entra ID P1, P2 o Gobernanza que requieren una SKU Premium P2. Para obtener más información sobre las licencias y las SKU de Microsoft Entra, consulte Aspectos básicos de las licencias de gobernanza de Microsoft Entra ID y guía de precios.
Antes de empezar
- Consulte Integración de Microsoft Entra administrada por AKS para obtener información general e instrucciones de configuración.
Usar el acceso condicional con Microsoft Entra ID y AKS
- En Azure Portal, vaya a la página Microsoft Entra ID y seleccione Aplicaciones empresariales.
- Seleccione Directivas de acceso>Directivas>Nueva directiva.
- Escriba un nombre para la directiva, como aks-policy.
- En Asignaciones, seleccione Usuarios y grupos. Elija los usuarios y grupos a los que quiere aplicar la directiva. En este ejemplo, elija el mismo grupo de Microsoft Entra que tiene acceso de administrador al clúster.
- En Aplicaciones en la nube o acciones>Incluir, escoger Seleccionar aplicaciones. Busque Azure Kubernetes Service y seleccione Azure Kubernetes Service Microsoft Entra Server.
- En Controles de acceso>Conceder, seleccione Conceder acceso, Requerir que el dispositivo esté marcado como compatible y Requerir todos los controles seleccionados.
- Confirme la configuración, establezca Habilitar directiva en Activado y, a continuación, seleccione Crear.
Comprobación de que la directiva de acceso condicional se ha enumerado correctamente
Obtenga las credenciales de usuario para acceder al clúster usando el comando
az aks get-credentials.az aks get-credentials --resource-group myResourceGroup --name myManagedClusterSiga las instrucciones para iniciar sesión.
Vea los nodos del clúster mediante el comando
kubectl get nodes.kubectl get nodesEn Azure Portal, vaya a Microsoft Entra ID y seleccione Aplicaciones empresariales>Actividad>Inicios de sesión.
En la columna Acceso condicional, debería ver el estado Correcto. Seleccione el evento y, a continuación, la pestaña Acceso condicional. Aparecerá la directiva de acceso condicional.
Pasos siguientes
Para más información, consulte los siguientes artículos.
- Use kubelogin para obtener acceso a las características de autenticación de Azure que no están disponibles en kubectl.
- Use Privileged Identity Management (PIM) para controlar el acceso a los clústeres de Azure Kubernetes Service (AKS).
Azure Kubernetes Service