AKS tarafından yönetilen Microsoft Entra tümleştirmesi ile yerel hesapları yönetme

AKS kümesini dağıttığınızda, yerel hesaplar varsayılan olarak etkinleştirilir. RBAC veya Microsoft Entra tümleştirmesini etkinleştirseniz bile, --admin erişim yine de denetlenemez bir arka kapı seçeneği olarak mevcuttur. Bu makalede, mevcut kümedeki yerel hesapları devre dışı bırakma, yerel hesapları devre dışı bırakılmış yeni bir küme oluşturma ve mevcut kümelerde yerel hesapları yeniden etkinleştirme işlemleri gösterilmektedir.

Başlamadan önce

• Genel bakış ve kurulum yönergeleri için bkz . AKS tarafından yönetilen Microsoft Entra tümleştirmesi .

Yerel hesapları devre dışı bırakma

parametresini disable-local-accountskullanarak yerel hesapları devre dışı bırakabilirsiniz. Bu alan, properties.disableLocalAccounts özelliğin kümede etkinleştirilip etkinleştirilmediğini belirtmek için yönetilen küme API'sine eklendi.

Dekont

• Microsoft Entra tümleştirmesi etkin olan kümelerde, tarafından aad-admin-group-object-ids belirtilen bir Microsoft Entra yöneticiler grubuna atanan kullanıcılar yönetici olmayan kimlik bilgilerini kullanarak erişim elde edebilir. Microsoft Entra tümleştirmesi etkinleştirilmemiş ve properties.disableLocalAccounts olarak ayarlanmamış truekümelerde, kullanıcı veya yönetici kimlik bilgileriyle kimlik doğrulaması girişimi başarısız olur.

• Kullanıcıların yerel hesaplarla kimlik doğrulaması yapmış olabileceği mevcut bir AKS kümesinde yerel kullanıcı hesaplarını devre dışı bırakdıktan sonra, yöneticinin erişimi olabilecek sertifikaları iptal etmek için küme sertifikalarını döndürmesi gerekir. Bu yeni bir kümeyse herhangi bir eylem gerekmez.

Yerel hesapları olmayan yeni bir küme oluşturma

1. bayrağıyla disable-local-accounts komutunu kullanarak az aks create herhangi bir yerel hesap olmadan yeni bir AKS kümesi oluşturun.

   az aks create --resource-group <resource-group> --name <cluster-name> --enable-aad --aad-admin-group-object-ids <aad-group-id> --disable-local-accounts
   

2. Çıktıda, alanın properties.disableLocalAccounts olarak ayarlandığını truedenetleyerek yerel hesapların devre dışı bırakıldığını onaylayın.

   "properties": {
       ...
       "disableLocalAccounts": true,
       ...
   }
   

3. Kümenin az aks get-credentials yerel hesapları devre dışı bırakmak üzere ayarlandığından emin olmak için komutunu çalıştırın.

   az aks get-credentials --resource-group <resource-group> --name <cluster-name> --admin
   

   Çıkışınızda özelliğin erişimi engellediğini belirten aşağıdaki hata iletisi gösterilmelidir:

   Operation failed with status: 'Bad Request'. Details: Getting static credential isn't allowed because this cluster is set to disable local accounts.
   

Mevcut kümede yerel hesapları devre dışı bırakma

1. parametresiyle komutunu kullanarak mevcut Microsoft Entra tümleştirmesi etkinleştirilmiş AKS kümesinde az aks updatedisable-local-accounts yerel hesapları devre dışı bırakın.

   az aks update --resource-group <resource-group> --name <cluster-name> --disable-local-accounts
   

2. Çıktıda, alanın properties.disableLocalAccounts olarak ayarlandığını truedenetleyerek yerel hesapların devre dışı bırakıldığını onaylayın.

   "properties": {
       ...
       "disableLocalAccounts": true,
       ...
   }
   

3. Kümenin az aks get-credentials yerel hesapları devre dışı bırakmak üzere ayarlandığından emin olmak için komutunu çalıştırın.

   az aks get-credentials --resource-group <resource-group> --name <cluster-name> --admin
   

   Çıkışınızda özelliğin erişimi engellediğini belirten aşağıdaki hata iletisi gösterilmelidir:

   Operation failed with status: 'Bad Request'. Details: Getting static credential isn't allowed because this cluster is set to disable local accounts.
   

Mevcut bir kümede yerel hesapları yeniden etkinleştirme

1. parametresiyle komutunu enable-local-accounts kullanarak az aks update mevcut bir kümede devre dışı bırakılmış bir yerel hesabı yeniden etkinleştirin.

   az aks update --resource-group <resource-group> --name <cluster-name> --enable-local-accounts
   

2. Çıktıda, alanın properties.disableLocalAccounts olarak ayarlandığını falsedenetleyerek yerel hesapların yeniden etkinleştirildiğini onaylayın.

   "properties": {
       ...
       "disableLocalAccounts": false,
       ...
   }
   

3. Kümenin az aks get-credentials yerel hesapları etkinleştirecek şekilde ayarlandığından emin olmak için komutunu çalıştırın.

   az aks get-credentials --resource-group <resource-group> --name <cluster-name> --admin
   

   Çıkışınız, kümede yerel hesapları başarıyla etkinleştirdiğinize ilişkin aşağıdaki iletiyi göstermelidir:

   Merged "<cluster-name>-admin" as current context in C:\Users\<username>\.kube\config
   

Sonraki adımlar

• Kubernetes Yetkilendirmesi için Azure RBAC tümleştirmesi hakkında bilgi edinin.