Contrôler l’accès aux clusters à l’aide de l’Accès conditionnel avec l’intégration de Microsoft Entra gérée par AKS
Lorsque vous intégrez Microsoft Entra ID à votre cluster AKS, vous pouvez utiliser l’Accès conditionnel pour les requêtes juste-à-temps afin de contrôler l’accès à votre cluster. Cet article vous montre comment activer l’Accès conditionnel sur vos clusters AKS.
Remarque
L’Accès conditionnel Microsoft Entra dispose de fonctionnalités Microsoft Entra ID P1, P2 ou Gouvernance qui nécessitent un niveau tarifaire Premium P2. Pour plus d’informations sur les licences et références SKU Microsoft Entra ID, consultez Principes de base des licences Microsoft Entra ID et le guide de tarification.
Avant de commencer
- Consultez l’Intégration Microsoft Entra gérée par AKS pour obtenir une vue d’ensemble et des instructions de configuration.
Utiliser l’accès conditionnel avec Microsoft Entra ID et AKS
- Dans le Portail Azure, accédez à la page Microsoft Entra ID et sélectionnez Applications d’entreprise.
- SélectionnezStratégies>d’accès> conditionnelNouvelle stratégie.
- Entrez le nom de la stratégie, par exemple aks-policy.
- Sous Affectations, sélectionnez Utilisateurs et groupes. Choisissez les utilisateurs et les groupes auxquels vous voulez appliquer la stratégie. Pour cet exemple, choisissez le même groupe Microsoft Entra disposant déjà d’un accès administrateur à votre cluster.
- Sous Applications ou actions cloud>Inclure, sélectionnez Sélectionner les applications. Recherchez Azure Kubernetes Service, puis sélectionnez Serveur Microsoft Entra Kubernetes Service.
- Sous Contrôles d’accès >Accorder, sélectionnez Accorder l’accès, Exiger que l’appareil soit marqué comme conforme et Exiger tous les contrôles sélectionnés.
- Confirmez vos paramètres, définissez Activer la stratégie sur Activé, puis sélectionnez Créer.
Vérifier que votre stratégie d’accès conditionnel est bien répertoriée
Récupérez les informations d’identification d’utilisateur pour accéder au cluster à l’aide de la commande
az aks get-credentials.az aks get-credentials --resource-group myResourceGroup --name myManagedClusterSuivez les instructions pour vous connecter.
Affichez les nœuds dans le cluster à l’aide de la commande
kubectl get nodes.kubectl get nodesDans le Portail Azure, accédez à Microsoft Entra ID et sélectionnez Applications d’entreprise>Activité>Connexions.
Sous la colonne Accès conditionnel , vous devez voir l’état Réussite. Sélectionnez l’événement, puis sélectionnez l’onglet Accès conditionnel. Votre stratégie d’accès conditionnel doit figurer dans la liste.
Étapes suivantes
Pour plus d’informations, consultez les articles suivants :
- Utilisez kubelogin pour accéder aux fonctionnalités de l’authentification Azure non disponibles dans kubectl.
- Utilisez Privileged Identity Management (PIM) pour contrôler l’accès à vos clusters Azure Kubernetes Service (AKS).
Azure Kubernetes Service