Lorsque vous utilisez des identités gérées attribuées par le système dans Azure, plusieurs meilleures pratiques peuvent aider à optimiser leur utilisation:
1. Utilisation pour les charges de travail de ressources uniques: les identités attribuées par le système sont idéales pour les charges de travail contenues dans une seule ressource Azure. Ils sont automatiquement créés et supprimés avec la ressource, simplifiant la gestion des ressources qui n'ont pas besoin de partager des identités [5] [6].
2. Cela garantit que chaque ressource a sa propre identité à des fins d'audit et que les autorisations sont automatiquement révoquées lorsque la ressource est supprimée [1] [5].
3. Principe de privilège le moins: accordez toujours le moins d'autorisations nécessaires à l'identité gérée. Cela minimise le risque de sécurité si l'identité est compromise. Assurez-vous que l'identité n'a accès qu'aux ressources et actions requises pour son opération [1] [7].
4. Gestion de l'affectation des rôles: les affectations de rôles ne sont pas automatiquement supprimées lorsqu'une identité attribuée par le système est supprimée. Assurez-vous que ces affectations sont supprimées manuellement pour éviter de dépasser les limites d'attribution des rôles et de maintenir un environnement propre [1].
5. Évitez la création rapide des ressources: soyez prudent lorsque vous créez rapidement des ressources avec des identités attribuées par le système, car cela peut entraîner des limites de taux sur les créations d'objets Microsoft Entra et peut dépasser les limites d'abonnement Azure [1].
6. Considérations de sécurité: lors de l'attribution d'identités attribuées au système aux ressources qui exécutent du code (comme les fonctions Azure ou les applications logiques), assurez-vous que les utilisateurs ayant accès à ces ressources n'ont pas d'autorisations inutiles qui pourraient être exploitées via l'identité gérée [1].
Citations:
[1] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/managed-identity-best-practice-recommendations
[2] https://stackoverflow.com/questions/67578296/what-are-the-best-practices-to-create-a-serser-signed-manged-identity-for-an-az
[3] https://www.varonis.com/blog/azure-manged-identités
[4] https://docs.azure.cn/en-us/automation/enable-manged-identity-for-automation
[5] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/overview
[6] https://cloudtips.nl/the-magic-of-azure-manged-Identities-%EF%B8%8F-19747C37E652
[7] https://docs.azure.cn/en-us/entra/identity/managed-identities-azure-resources/overview-for-develovers
[8] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-manged-identities/