Bei der Verwendung systembedingter verwalteter Identitäten in Azure können mehrere Best Practices dazu beitragen, deren Verwendung zu optimieren:
1. Verwendung für einzelne Ressourcen-Workloads: Die systembedingte Identitäten sind ideal für Workloads, die in einer einzigen Azure-Ressource enthalten sind. Sie werden automatisch mit der Ressource erstellt und gelöscht, um das Management für Ressourcen zu vereinfachen, die keine Identitäten ausgetauscht haben [5] [6].
2. Management für Protokollierung und Berechtigungen: Die systembedingte Identitäten sind von Vorteil, wenn Sie Aktionen nach bestimmten Ressourcen protokollieren oder Berechtigungen verwalten müssen, die beim Löschen der Ressource entfernt werden sollten. Dies stellt sicher, dass jede Ressource ihre eigene Identität für Prüfungszwecke hat und dass die Berechtigungen automatisch widerrufen werden, wenn die Ressource gelöscht wird [1] [5].
3. Prinzip der geringsten Privilegien: Ergeben Sie immer die geringsten Berechtigungen für die verwaltete Identität. Dies minimiert das Sicherheitsrisiko, wenn die Identität beeinträchtigt wird. Stellen Sie sicher, dass die Identität nur Zugriff auf die für ihren Betrieb erforderlichen Ressourcen und Maßnahmen hat [1] [7].
4. Rollenzuweisungsmanagement: Rollenzuweisungen werden nicht automatisch gelöscht, wenn eine systembedingte Identität gelöscht wird. Stellen Sie sicher, dass diese Aufträge manuell entfernt werden, um die Überschreitung von Rollenzuordnungsgrenzen zu vermeiden und eine saubere Umgebung aufrechtzuerhalten [1].
5. Schnelle Ressourcenerstellung vermeiden: Seien Sie vorsichtig, wenn Sie schnell Ressourcen mit systembedingten Identitäten erstellen, da dies zu Ratengrenzen für Microsoft-Entra-Objektkreationen führen kann und Azure-Abonnementgrenzen überschreiten kann [1].
6. Sicherheitsüberlegungen: Bei der Zuweisung von systembedingten Identitäten an Ressourcen, die Code ausführen (z.
Zitate:
[1] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/managed-identity-best-practice-recommendations
[2] https://stackoverflow.com/questions/67578296/what-are-the-best-practices-to-create-a-user-ssigned- managed-identity-for-an-az
[3] https://www.varonis.com/blog/azure-managed-identies
[4] https://docs.azure.cn/en-us/automation/enable-managed-identity-for-automation
[5] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/overview
[6] https://cloudtips.nl/the-magic-of-azure-managed-identity-%ef%B8%8f-19747c37e652
[7] https://docs.azure.cn/en-us/entra/identity/managed-identities-azure-resources/overview-for-developers
[8] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-nction-us-ntIned-managed-identities/