目標叢集上的服務主體輪替

本檔提供在目標 Nexus 叢集上執行服務主體輪替程式的概觀。 與安全性最佳做法一致，應定期輪替安全性主體。 每當服務主體的完整性受到懷疑或已知遭到入侵時，應該立即輪替它。

必要條件

1. 必須安裝 [安裝 Azure CLI][installation-instruction] 。
2. networkcloud需要 CLI 擴充功能。 networkcloud如果未安裝擴充功能，可以遵循此處所列的步驟來安裝。
3. 存取目標叢集的 Azure 入口網站。
4. 您必須透過 登入與目標叢集相同的訂用帳戶 az login
5. 目標叢集必須處於執行中且狀況良好的狀態。
6. 服務主體輪替應在設定的認證到期之前執行。
7. 服務主體應具有目標叢集訂用帳戶的擁有者許可權。

將次要認證附加至現有的服務主體

列出服務主體的現有認證資訊

az ad app credential list --id "<SP Application (client) ID>"

將次要認證附加至服務主體。 請遵循最佳做法，將產生的產生的密碼複製到安全的地方。

az ad app credential reset --id "<SP Application (client) ID>" --append --display-name "<human-readable description>"

建立新的服務主體

新的服務主體應該在目標叢集訂用帳戶上具有擁有者許可權範圍。

az ad sp create-for-rbac -n "<service principal display name>" --role owner --scopes /subscriptions/<subscription-id>

在目標叢集上輪替服務主體

服務主體可以藉由提供新的資訊，在目標叢集上輪替，該資訊只能是次要認證更新，也可以是目標叢集的新服務主體。

az networkcloud cluster update --resource-group "<resourceGroupName>" --cluster-service-principal application-id="<sp app id>" password="<cleartext password>" principal-id="<sp id>" tenant-id="<tenant id>" -n <cluster name> --subscription <subscription-id>

確認目標叢集上的新服務主體更新

如果服務主體在目標叢集上旋轉，叢集顯示將會列出新的服務主體變更。

az networkcloud cluster show --name "clusterName" --resource-group "resourceGroup"

在輸出中，您可以在 屬性下 clusterServicePrincipal 找到詳細數據。

"clusterServicePrincipal": {
      "applicationId": "<sp application id>",
      "principalId": "<sp principal id>",
      "tenantId": "tenant id"
    }

注意

在更新服務主體識別碼時，請確定您使用正確的服務主體標識碼（Azure 中的物件識別符）。 從 Azure 擷取的相同服務主體名稱有兩個不同的物件識別碼，請遵循下列步驟來尋找正確的物件識別碼：

1. 請避免從應用程式類型的服務主體擷取對象標識碼，當您在 Azure 入口網站 搜尋列上搜尋服務主體時出現。
2. 相反地，在 Azure 服務中的 「企業應用程式」底下搜尋服務主體名稱，以尋找正確的物件標識碼，並將其當做主體標識碼使用。

如果您仍有問題， 請連絡支持人員。 如需支援方案的詳細資訊，請參閱 Azure 支援方案。