Při používání spravované identity přiřazené systémem v Azure může několik osvědčených postupů pomoci optimalizovat jejich použití:
1. Použití pro pracovní zátěž s jedním zdrojem: Identity přiřazené systémem jsou ideální pro pracovní zátěž obsažená v jediném azurovém prostředku. Jsou automaticky vytvořeny a odstraněny zdrojem, což zjednodušuje správu zdrojů, které nemusí sdílet identity [5] [6].
2. Správa protokolování a oprávnění auditu: Identity přiřazené systémem jsou prospěšné, pokud potřebujete protokolovat akce podle konkrétních zdrojů nebo spravovat oprávnění, která by měla být odstraněna při smazání zdroje. Tím je zajištěno, že každý zdroj má svou vlastní identitu pro účely auditu a že oprávnění jsou automaticky zrušena, když je zdroj odstraněn [1] [5].
3. Nejméně privilegií principu: Vždy udělte nejmenší oprávnění nezbytná pro spravovanou identitu. To minimalizuje bezpečnostní riziko, pokud je identita ohrožena. Zajistěte, aby identita měla přístup pouze ke zdrojům a akcím potřebným pro její provoz [1] [7].
4. Správa přiřazení rolí: Přiřazení rolí se automaticky neodstraní, když je identita přiřazená systémem odstraněna. Zajistěte, aby byly tyto přiřazení odstraněny ručně, abyste se vyhnuli překročení limitů přiřazování rolí a udržovali čisté prostředí [1].
5. Vyhněte se rychlému vytváření zdrojů: Při rychlém vytváření zdrojů s identitami přiřazenou systémem buďte opatrní, protože to může vést k limitům sazeb u objektových výtvorů Microsoft Entra a může překročit limity předplatného azuru [1].
6. Bezpečnostní úvahy: Při přiřazení identity přiřazených systémem k zdrojům, které provádějí kód (jako jsou funkce Azure nebo logické aplikace), zajišťují, aby uživatelé s přístupem k těmto zdrojům neměli zbytečná oprávnění, která by mohla být využívána prostřednictvím spravované identity [1].
Citace:
[1] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/managed-identity-best-praktice-recomingmendations
[2] https://stackoverflow.com/questions/67578296/what-are-the-best-pactices-to-create-a-assigned-reaged-adeties-for-an-az
[3] https://www.varonis.com/blog/azure-amaged-identity
[4] https://docs.azure.cn/en-us/automation/enable-amaged-identity-for-automation
[5] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/overview
[6] https://cloudtips.nl/the-magic-of-azure-reaged-identities-%EF%B8%8f-19747c37e652
[7] https://docs.azure.cn/en-us/entra/identity/managed-identities-azure-resources/overview-for-developers
[8] https://www.red-gate.com/Simple-Talk/Cloud/azure/azure-function-and-user-Assigned-anaged-identities/