Azure サービス プリンシパル のバックアップ(No.6)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• Azure サービス プリンシパル へ行く。
  • 1 (2020-05-06 (水) 13:24:07)
  • 2 (2020-05-06 (水) 15:09:53)
  • 3 (2020-05-06 (水) 19:08:21)
  • 4 (2020-05-07 (木) 12:15:54)
  • 5 (2020-05-07 (木) 18:39:59)
  • 6 (2020-05-08 (金) 21:46:27)
  • 7 (2020-07-16 (木) 13:52:11)
  • 8 (2021-03-08 (月) 00:47:15)
  • 9 (2021-03-08 (月) 09:12:17)
  • 10 (2021-03-08 (月) 12:27:44)
  • 11 (2021-03-17 (水) 20:46:32)
  • 12 (2021-07-01 (木) 09:44:08)
  • 13 (2021-08-04 (水) 17:20:13)

---

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る
  • Azure > AKS
  • AKSをセキュアに利用するためのテクニカルリファレンス
  • AKSクラスタ作成・操作に必要な権限

目次 †

概要 †

≒ SPNのAzure版

詳細 †

• Azureのリソース操作用のID

• このID（appId）は、AzADによって管理される。

• 基本は、アプリケーション用として利用する。

• しかし、Azure CLI用などとすれば、
  操作者のSubscriptionが変更されても、管理操作の際の権限を維持可能。

パスワードの失効とリフレッシュ †

失効 †

• 既定では一年でパスワード（シークレット）が失効する。
• 無期限に設定することも出来る模様。

リフレッシュ †

• 必要に応じリフレッシュが必要になる。
• リフレッシュはパスワード（シークレット）再作成し、
• アプリケーションにパスワード（シークレット）を再設定する。

SPNの用例 †

Azure CLI用のSPN †

>az ad sp create-for-rbac --skip-assignment
{
  "appId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
  "displayName": "azure-cli-2019-12-12-08-08-32",
  "name": "http://azure-cli-2019-12-12-08-08-32",
  "password": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
  "tenant": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
}
>az role assignment create --assignee "<appId>" --role Reader
>az login --service-principal --username "<appId>" --password "<password>" --tenant TENANT_ID

• 参考
  • Azure CLI で Azure サービス プリンシパルを使用する | Microsoft Docs
    https://docs.microsoft.com/ja-jp/cli/azure/create-an-azure-service-principal-azure-cli?view=azure-cli-latest

AKS制御プレーン用のSPN †

• SPN方式

  az aks create -n myAKSCluster -g myResourceGroup --node-count 2 --service-principal "<appId>" --client-secret "<password>" --generate-ssh-keys

• Managed ID方式

  az aks create -n myAKSCluster -g myResourceGroup --enable-managed-identity

• 参考
  • SPN方式：実行手順
  • Managed ID方式：実行手順

AKS制御プレーンのAKS ARC Pull用 †

• SPN方式

  az role assignment create --assignee "<appId>" --scope "<acrId>" --role acrpull

• Managed ID方式

  az aks update -n myAKSCluster -g myResourceGroup --attach-acr <acrName>

• 参考
  • Microsoft Docs
    • サービス プリンシパルでの認証
      https://docs.microsoft.com/ja-jp/azure/container-registry/container-registry-auth-service-principal
    • マネージド ID による認証
      https://docs.microsoft.com/ja-jp/azure/container-registry/container-registry-authentication-managed-identity

AKS制御プレーンの既存のVNET操作用 †

• SPN方式

  AKS_VNET_ID=$(az network vnet show --name $AKS_VNET_NAME --resource-group $RG_AKS --query id -o tsv)
  az role assignment create --assignee $AKS_SP_ID --role "Contributor" --scope $AKS_VNET_ID

• Managed ID方式

  AKS_VNET_ID=$(az network vnet show --name $AKS_VNET_NAME --resource-group $RG_AKS --query id -o tsv)
  AKS_MANAGED_ID=$(az aks show --name $AKS_CLUSTER_NAME --resource-group $RG_AKS --query identity.principalId -o tsv)
  az role assignment create --assignee $AKS_MANAGED_ID --role "Contributor" --scope $AKS_VNET_ID

• 参考
  • Azure Kubernetes Serviceを別の仮想ネットワークにデプロイする時の注意点 - Qiita
    https://qiita.com/yotan/items/75a54dc60761d5b6f866

参考 †

• 3分でわかるAzureでのService Principal
  https://www.slideshare.net/ToruMakabe/3azure-service-principal

• Azure サービス プリンシパルの作成方法 - poke_dev’s blog
  https://poke-dev.hatenablog.com/entry/2019/11/24/213704

• Azure CLI で Azure サービス プリンシパルを使用する | Microsoft Docs
  https://docs.microsoft.com/ja-jp/cli/azure/create-an-azure-service-principal-azure-cli

---

Tags: , :セキュリティ, :アカウント, :クラウド, :Azure, :Active Directory, :認証基盤

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.017 sec.