Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon Hvad er den bedste praksis til at bruge systemdusterede styrede identiteter i Azure


Hvad er den bedste praksis til at bruge systemdusterede styrede identiteter i Azure


Når du bruger systemdusterede styrede identiteter i Azure, kan flere bedste praksis hjælpe med at optimere deres anvendelse:

1. Brug til arbejdsbelastninger med en enkelt ressource: Systemtildelte identiteter er ideelle til arbejdsbelastning indeholdt i en enkelt Azure-ressource. De oprettes og slettes automatisk med ressourcen og forenkler ledelsen for ressourcer, der ikke behøver at dele identiteter [5] [6].

2. Revision Logging og tilladelsesstyring: Systemtildelte identiteter er gavnlige, når du skal logge handlinger efter specifikke ressourcer eller administrere tilladelser, der skal fjernes, når ressourcen slettes. Dette sikrer, at hver ressource har sin egen identitet til revisionsformål, og at tilladelser automatisk tilbagekaldes, når ressourcen slettes [1] [5].

3. mindst privilegiumprincip: Giv altid de mindst tilladelser, der er nødvendige for den styrede identitet. Dette minimerer sikkerhedsrisikoen, hvis identiteten kompromitteres. Sørg for, at identiteten kun har adgang til de ressourcer og handlinger, der kræves til dens drift [1] [7].

4. Rolleopgavestyring: Rolleopgaver slettes ikke automatisk, når en systemtildeling identitet slettes. Sørg for, at disse opgaver manuelt fjernes for at undgå at overskride rolletildelingsgrænser og for at opretholde et rent miljø [1].

5. Undgå hurtig oprettelse af ressourcer: Vær forsigtig, når du hurtigt opretter ressourcer med systemtildelte identiteter, da dette kan føre til hastighedsgrænser på Microsoft Entra Object Creations og kan overstige Azure-abonnementsgrænser [1].

6. Sikkerhedsovervejelser: Når du tildeler systemtildelte identiteter til ressourcer, der udfører kode (som Azure-funktioner eller logiske apps), skal du sikre dig, at brugere med adgang til disse ressourcer ikke har unødvendige tilladelser, der kan udnyttes gennem den administrerede identitet [1].

Citater:
[1] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/managed-identity-best-practice-recommendations
)
[3] https://www.varonis.com/blog/azure-managed-identities
[4] https://docs.azure.cn/en-us/automation/enable-managed-identity-for-automation
[5] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/overview
[6] https://cloudtips.nl/the-magic-of-azure-managed-identities-%EF%B8%8F-19747C37E652
[7] https://docs.azure.cn/en-us/entra/identity/managed-identities-azure-resources/overview-for-udvelopere
)