Kun käytät järjestelmän määrittelemiä hallittuja identiteettejä Azuressa, useat parhaat käytännöt voivat auttaa optimoimaan niiden käyttöä:
1. Käyttö yksittäisiin resurssien työmääriin: Järjestelmän määrittämät identiteetit ovat ihanteellisia yhden Azure-resurssin sisältämiin työmääriin. Ne luodaan automaattisesti ja poistetaan resurssilla, yksinkertaistaen resurssien hallintaa, joita ei tarvitse jakaa identiteettejä [5] [6].
2. Auditointien kirjaaminen ja käyttöoikeuksien hallinta: Järjestelmän määrittämät identiteetit ovat hyödyllisiä, kun sinun on kirjattava toimenpiteitä tietyillä resursseilla tai hallitaan käyttöoikeuksia, jotka tulisi poistaa, kun resurssi poistetaan. Tämä varmistaa, että jokaisella resurssilla on oma henkilöllisyytensä tilintarkastustarkoituksiin ja että käyttöoikeudet peruutetaan automaattisesti, kun resurssi poistetaan [1] [5].
3. Pienin etuoikeusperiaate: Annetaan aina hallinnoidulle henkilöllisyydelle tarvittavat vähiten käyttöoikeudet. Tämä minimoi turvallisuusriskin, jos identiteetti vaarantuu. Varmista, että identiteettillä on vain pääsy sen toimintaan tarvittaviin resursseihin ja toimiin [1] [7].
4. roolin määrittämisen hallinta: Roolitehtäviä ei poisteta automaattisesti, kun järjestelmän määräämä henkilöllisyys poistetaan. Varmista, että nämä tehtävät poistetaan manuaalisesti, jotta vältetään roolin määritysrajojen ylittäminen ja puhtaan ympäristön ylläpitämiseksi [1].
5. Vältä nopeaa resurssien luomista: Ole varovainen, kun luodaan nopeasti resursseja järjestelmäsuunnitelmilla identiteetteillä, koska tämä voi johtaa Microsoft Entrra -objektien luomisrajoihin ja voi ylittää Azure-tilausrajat [1].
6. Suojausnäkökohdat: Kun määritetään järjestelmän määrittämät henkilöllisyydet resursseille, jotka suorittavat koodin (kuten Azure-toiminnot tai logiikkasovellukset), varmista, että käyttäjillä, joilla on pääsy näihin resursseihin
Viittaukset:
.
.
[3] https://www.varonis.com/blog/azure-managed-identies
[4] https://docs.azure.cn/en-us/automation/enable-managed-identity-for-automation
.
.
.
.