عند استخدام الهويات المدارة المعتمدة من النظام في Azure ، يمكن أن تساعد العديد من الممارسات الأفضل في تحسين استخدامها:
1. استخدام أعباء عمل الموارد المفردة: الهويات المعتمدة من النظام مثالية لأعباء العمل الموجودة في مورد Azure واحد. يتم إنشاؤها وحذفها تلقائيًا مع المورد ، مما يؤدي إلى تبسيط الإدارة للموارد التي لا تحتاج إلى مشاركة الهويات [5] [6].
2. تسجيل التدقيق وإدارة الأذونات: تعد الهويات المخصّبة من النظام مفيدة عندما تحتاج إلى تسجيل الإجراءات بموارد محددة أو إدارة الأذونات التي يجب إزالتها عند حذف المورد. هذا يضمن أن لكل مورد هويته الخاصة لأغراض التدقيق وأن الأذونات يتم إلغاؤها تلقائيًا عند حذف المورد [1] [5].
3. مبدأ الامتياز الأقل: تمنح دائمًا أقل الأذونات اللازمة للهوية المدارة. هذا يقلل من خطر الأمان إذا تم اختراق الهوية. تأكد من أن الهوية لديها فقط الوصول إلى الموارد والإجراءات المطلوبة لتشغيلها [1] [7].
4. إدارة تعيين الأدوار: لا يتم حذف تعيينات الأدوار تلقائيًا عند حذف الهوية المعتمدة من النظام. تأكد من إزالة هذه المهام يدويًا لتجنب تجاوز حدود تعيين الدور والحفاظ على بيئة نظيفة [1].
5. تجنب إنشاء الموارد السريعة: كن حذرًا عند إنشاء الموارد بسرعة مع هويات مصممة للنظام ، حيث يمكن أن يؤدي ذلك إلى حدود معدل على إبداعات كائن Microsoft Entra وقد تتجاوز حدود الاشتراك Azure [1].
6. اعتبارات الأمان: عند تعيين هويات محددة للنظام للموارد التي تنفذ الكود (مثل وظائف Azure أو تطبيقات المنطق) ، تأكد من أن المستخدمين الذين لديهم إمكانية الوصول إلى هذه الموارد ليس لديهم أذونات غير ضرورية يمكن استغلالها من خلال الهوية المدارة [1].
الاستشهادات:
[1] https://learn.microsoft.com/en-us/entra/identity/managed-azed-azure-resources/managed-daintity-best-practice-practice
[2] https://stackoverflow.com/questions/67578296/what-re--best-practices-to-create-a-user-assign--
[3] https://www.varonis.com/blog/azure-managed-entities
[4] https://docs.azure.cn/en-us/automation/enable-managed-identity-for-automation
[5] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/overview
[6] https://cloudtips.nl/the-magic-of-azure-managed-edientities-٪F٪B8٪8F-19747C37E652
[7]
[8]