Bij het gebruik van door systeem toegewezen beheerde identiteiten in Azure kunnen verschillende best practices helpen het gebruik ervan te optimaliseren:
1. Gebruik voor werklast met één resource: door systeem toegewezen identiteiten zijn ideaal voor werkbelastingen in een enkele Azure-bron. Ze worden automatisch gemaakt en verwijderd met de bron, waardoor het management wordt vereenvoudigd voor bronnen die geen identiteiten hoeven te delen [5] [6].
2. Auditlogboekregistratie en machtigingenbeheer: door systeem toegewezen identiteiten zijn gunstig wanneer u acties moet registreren door specifieke bronnen of machtigingen moet beheren die moeten worden verwijderd wanneer de bron is verwijderd. Dit zorgt ervoor dat elke bron zijn eigen identiteit heeft voor auditedoeleinden en dat machtigingen automatisch worden ingetrokken wanneer de bron wordt verwijderd [1] [5].
3. MINST Privilege Principle: verleent altijd de minste machtigingen die nodig zijn voor de beheerde identiteit. Dit minimaliseert het beveiligingsrisico als de identiteit wordt aangetast. Zorg ervoor dat de identiteit alleen toegang heeft tot de middelen en acties die nodig zijn voor de werking ervan [1] [7].
4. Beheer van rolaanwijzing: roltoewijzingen worden niet automatisch verwijderd wanneer een door systeem toegewezen identiteit wordt verwijderd. Zorg ervoor dat deze toewijzingen handmatig worden verwijderd om te voorkomen dat de limieten van de rol toewijzingen worden verkregen en om een schone omgeving te behouden [1].
5. Vermijd snelle middelencreatie: wees voorzichtig bij het snel creëren van bronnen met door systeem toegewezen identiteiten, omdat dit kan leiden tot snelheidslimieten voor Microsoft Entra Object Creations en de Azure-abonnementslimieten kan overschrijden [1].
6. Beveiligingsoverwegingen: bij het toewijzen van door systeem toegewezen identiteiten aan bronnen die code uitvoeren (zoals Azure-functies of logische apps), zorgt u ervoor dat gebruikers met toegang tot deze bronnen geen onnodige machtigingen hebben die kunnen worden benut door de beheerde identiteit [1].
Citaten:
[1] https://learn.microsoft.com/en-us/entra/Identity/Managed-Identities-azure-Resources/Managed-Identity-best-Practice-recommendations
[2] https://stackoverflow.com/questions/67578296/what-are-the-best-practices-to-create-a-user- Assigned-anaged-anaged-identity-for-an-an
[3] https://www.varonis.com/blog/azure-managed-identities
[4] https://docs.azure.cn/en-us/automation/enable-managed-identity-for-automation
[5] https://learn.microsoft.com/en-us/entra/identity/Managed-Identities-azure-Resources/OverView
[6] https://cloudtips.nl/the-magic-of-azure-anaged-identities-%ef%B8%8F-19747C37E652
[7] https://docs.azure.cn/en-us/entra/Identity/Managed-Identities-azure-reesources/overview-for-developers
[8] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-managed-identities/