Όταν χρησιμοποιείτε τις διαχειριζόμενες ταυτότητες που έχουν διαχειριστεί από το σύστημα στο Azure, αρκετές βέλτιστες πρακτικές μπορούν να βοηθήσουν στη βελτιστοποίηση της χρήσης τους:
1. Χρήση για φόρτο εργασίας μεμονωμένων πόρων: Οι ταυτότητες που έχουν αξιοποιηθεί από το σύστημα είναι ιδανικές για φόρτο εργασίας που περιέχονται σε έναν ενιαίο πόρο Azure. Δημιουργούνται και διαγράφονται αυτόματα με τον πόρο, απλοποιώντας τη διαχείριση για πόρους που δεν χρειάζεται να μοιράζονται ταυτότητες [5] [6].
2. Διαχείριση καταγραφής και δικαιωμάτων ελέγχου: Οι ταυτότητες που έχουν αξιολογηθεί από το σύστημα είναι επωφελείς όταν πρέπει να καταγράψετε ενέργειες με συγκεκριμένους πόρους ή να διαχειριστείτε δικαιώματα που πρέπει να καταργηθούν όταν διαγραφεί ο πόρος. Αυτό εξασφαλίζει ότι κάθε πόρος έχει τη δική του ταυτότητα για σκοπούς ελέγχου και ότι τα δικαιώματα ανακληθούν αυτόματα όταν ο πόρος διαγράφεται [1] [5].
3. Αρχή προνομίων: Πάντα να παρέχετε τα ελάχιστα δικαιώματα που απαιτούνται για τη διαχειριζόμενη ταυτότητα. Αυτό ελαχιστοποιεί τον κίνδυνο ασφαλείας εάν η ταυτότητα διακυβεύεται. Βεβαιωθείτε ότι η ταυτότητα έχει μόνο πρόσβαση στους πόρους και τις ενέργειες που απαιτούνται για τη λειτουργία της [1] [7].
4. Διαχείριση ανάθεσης ρόλων: Οι αναθέσεις ρόλων δεν διαγράφονται αυτόματα όταν διαγράφεται μια ταυτότητα που έχει διαγραφεί από το σύστημα. Βεβαιωθείτε ότι αυτές οι αναθέσεις απομακρύνονται με το χέρι για να αποφευχθεί η υπέρβαση των ορίων εκχώρησης ρόλων και η διατήρηση ενός καθαρού περιβάλλοντος [1].
5. Αποφύγετε την ταχεία δημιουργία πόρων: Να είστε προσεκτικοί όταν δημιουργείτε ταχέως πόρους με ταυτότητες που έχουν αξιοποιηθεί από το σύστημα, καθώς αυτό μπορεί να οδηγήσει σε όρια ρυθμού στις δημιουργίες αντικειμένων της Microsoft Entra και μπορεί να υπερβεί τα όρια συνδρομής Azure [1].
6. Σκέψεις ασφαλείας: Κατά την εκχώρηση ταυτότητας που έχουν αναβαθμιστεί από το σύστημα σε πόρους που εκτελούν κώδικα (όπως οι λειτουργίες Azure ή οι εφαρμογές λογικής), βεβαιωθείτε ότι οι χρήστες με πρόσβαση σε αυτούς τους πόρους δεν έχουν περιττά δικαιώματα που θα μπορούσαν να αξιοποιηθούν μέσω της διαχειριζόμενης ταυτότητας [1].
Αναφορές:
[1] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/managed-identity-best-practice-recommendations
[2] https://stackoverflow.com/questions/67578296/what-are-the-best-practices-to-create-a-user-assigned-ganaged-iditity-for-az
[3] https://www.varonis.com/blog/azure-ganaged-identities
[4] https://docs.azure.cn/en-us/automation/enable-managed-identity-for-automation
[5] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/overview
[6] https://cloudtips.nl/the-magic-of-azure-managed-identities-%EF%B8%8F-19747C37E652
[7] https://docs.azure.cn/en-us/entra/identity/managed-identities-azure-resources/overview-for-dovelopers
[8] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-formed-identities/