Rotação da Entidade de Serviço no Cluster de destino

  • Artigo

Este documento fornece uma visão geral sobre o processo de execução da rotação da Entidade de Serviço no cluster do Nexus de destino. Em alinhamento com as melhores práticas de segurança, uma Entidade de Segurança deve ser girada periodicamente. Sempre que a houver suspeita ou conhecimento do comprometimento da integridade da Entidade de Serviço, ela deverá ser girada imediatamente.

Pré-requisitos

  1. A [Instalar CLI do Azure][instrução-instalação] deve ser instalada.
  2. A extensão CLI networkcloud é necessária. Se a extensão networkcloud não estiver instalada, ela poderá ser instalada seguindo as etapas listadas aqui.
  3. Acesso ao portal do Azure para o cluster de destino.
  4. Você deve estar conectado à mesma assinatura do cluster de destino por meio de az login
  5. O cluster de destino deve estar em estado de integridade e em execução.
  6. A rotação da Entidade de Serviço deve ser executada antes da expiração das credenciais configuradas.
  7. A Entidade de Serviço deve ter privilégio de proprietário na assinatura do cluster de destino.

Anexar credencial secundária à Entidade de Serviço existente

Listar informações de credenciais existentes para a Entidade de Serviço

az ad app credential list --id "<SP Application (client) ID>"

Acrescente a credencial secundária à Entidade de Serviço. Copie a senha gerada resultante em algum lugar seguro, seguindo as melhores práticas.

az ad app credential reset --id "<SP Application (client) ID>" --append --display-name "<human-readable description>"

Crie uma nova Entidade de Serviço

A nova Entidade de Serviço deve ter o escopo de privilégio de proprietário na assinatura do Cluster de destino.

az ad sp create-for-rbac -n "<service principal display name>" --role owner --scopes /subscriptions/<subscription-id>

Girar a Entidade de Serviço no Cluster de destino

A Entidade de Serviço pode ser girada no Cluster de destino fornecendo as novas informações, que podem ser apenas uma atualização de credencial secundária ou a nova Entidade de Serviço para o Cluster de destino.

az networkcloud cluster update --resource-group "<resourceGroupName>" --cluster-service-principal application-id="<sp app id>" password="<cleartext password>" principal-id="<sp id>" tenant-id="<tenant id>" -n <cluster name> --subscription <subscription-id>

Verificar a atualização da nova Entidade de Serviço no Cluster de destino

A exibição do Cluster listará as novas alterações da Entidade de Serviço se ela for girada no Cluster de destino.

az networkcloud cluster show --name "clusterName" --resource-group "resourceGroup"

Na saída, você pode encontrar os detalhes na propriedade clusterServicePrincipal.

"clusterServicePrincipal": {
      "applicationId": "<sp application id>",
      "principalId": "<sp principal id>",
      "tenantId": "tenant id"
    }

Observação

Verifique se você está usando a ID da Entidade de Serviço (ID do objeto no Azure) correta ao atualizá-la. Há duas IDs de objeto diferentes recuperáveis do Azure para o mesmo nome da Entidade de Serviço. Siga estas etapas para encontrar a certa:

  1. Evite recuperar a ID do objeto da Entidade de Serviço do aplicativo de tipo que aparece quando você procura a entidade de serviço na barra de pesquisa do portal do Azure.
  2. Em vez disso, pesquise o nome da entidade de serviço em "Aplicativos empresariais" nos Serviços do Azure para localizar a ID de objeto correta e usá-la como ID de entidade de segurança.

Se você ainda tiver dúvidas, entre em contato com o suporte. Para obter mais informações sobre planos de suporte, veja Planos de Suporte do Azure.