命令az aks get-credentials为客户端提供一个令牌,使他们可以连接到Kubernetes。这些存储在Azure端的什么位置,我如何撤销它们?
答案 0 :(得分:1)
可以通过运行az aks rotate-certificates来吊销客户端令牌。此操作可能会导致停机,因此不是用于细粒度吊销的理想方法。参见https://docs.microsoft.com/en-us/azure/aks/certificate-rotation。
为了能够撤消个人访问权限(例如,当某人离开公司时),您应该使用RBAC设置集群。然后,您可以通过RoleBinding资源添加和删除用户/组,这些资源将在进行更改后立即反映出访问权限/限制。应该授予用户“ Azure Kubernetes服务群集用户角色”,而不是“管理员”角色。请在此处查看有关Active Directory集成RBAC的详细说明:https://docs.microsoft.com/en-us/azure/aks/azure-ad-rbac