Quando si utilizzano identità gestite assegnate dal sistema in Azure, diverse migliori pratiche possono aiutare a ottimizzare il loro uso:
1. Utilizzo per carichi di lavoro a risorse singole: le identità assegnate al sistema sono ideali per i carichi di lavoro contenuti in una singola risorsa Azure. Vengono automaticamente creati ed eliminati con la risorsa, semplificando la gestione per le risorse che non devono condividere identità [5] [6].
2. Registrazione di audit e gestione delle autorizzazioni: le identità assegnate al sistema sono utili quando è necessario registrare le azioni per risorse specifiche o gestire le autorizzazioni che devono essere rimosse quando la risorsa viene eliminata. Ciò garantisce che ogni risorsa abbia una propria identità a fini di controllo e che le autorizzazioni vengano automaticamente revocate quando la risorsa viene eliminata [1] [5].
3. Principio di minimo privilegio: concedere sempre le minime autorizzazioni necessarie all'identità gestita. Ciò riduce al minimo il rischio di sicurezza se l'identità è compromessa. Assicurarsi che l'identità abbia accesso solo alle risorse e alle azioni richieste per il suo funzionamento [1] [7].
4. Gestione delle assegnazioni del ruolo: le assegnazioni di ruolo non vengono eliminate automaticamente quando viene eliminata un'identità assegnata dal sistema. Assicurarsi che questi incarichi vengano rimossi manualmente per evitare i limiti di assegnazione del ruolo e per mantenere un ambiente pulito [1].
5. Evitare la creazione di risorse rapide: essere cauti quando crei rapidamente risorse con identità assegnate al sistema, in quanto ciò può portare a limiti di velocità sulle creazioni di oggetti Microsoft ENTRA e può superare i limiti di abbonamento azure [1].
6. Considerazioni sulla sicurezza: quando si assegnano identità assegnate al sistema alle risorse che eseguono il codice (come le funzioni di Azure o le app logiche), assicurarsi che gli utenti con accesso a tali risorse non abbiano autorizzazioni non necessarie che potrebbero essere sfruttate attraverso l'identità gestita [1].
Citazioni:
[1] https://learn.microsoft.com/en-us/entra/identaty/managed-irtiety-azure-resources/managed-identity-best-practice-reCommedations
[2] https://stackoverflow.com/questions/67578296/what-alare-the-best-practices-to-create-a-user-assiged-managed-identity-for-an-az
[3] https://www.varonis.com/blog/azure-Managed-Identities
[4] https://docs.azure.cn/en-us/automation/enable-managed-identity-for-automation
[5] https://learn.microsoft.com/en-us/entra/identaty/managed-identities-azure-resources/overview
[6] https://cloudtips.nl/the-magic-of-azure-Managed-Identities-%EF%B8%8F-19747c37e652
[7] https://docs.azure.cn/en-us/entra/identity/managed-identities-azure-resources/overview-for-developer
[8] https://www.red-bate.com/simple-lalk/cloud/azure/azure-function-and-user-assiged-managed-identities/