Azureでシステムが割り当てられた管理されたアイデンティティを使用する場合、いくつかのベストプラクティスが使用を最適化するのに役立ちます。
1。単一のリソースワークロードに使用する:システムが割り当てられたアイデンティティは、単一のAzureリソースに含まれるワークロードに最適です。それらは自動的に作成され、リソースで削除され、アイデンティティを共有する必要のないリソースの管理を簡素化します[5] [6]。
2。監査ロギングと許可管理:特定のリソースでアクションを記録する必要がある場合、またはリソースが削除されたときに削除する権限を管理する必要がある場合、システムが割り当てられたアイデンティティが有益です。これにより、各リソースには監査目的のための独自のアイデンティティがあり、リソースが削除されたときに権限が自動的に取り消されることが保証されます[1] [5]。
3。最小特権原則:管理されたアイデンティティに必要な最小許可を常に付与します。これにより、アイデンティティが侵害された場合、セキュリティリスクが最小限に抑えられます。 IDがその操作に必要なリソースとアクションにのみアクセスできることを確認します[1] [7]。
4。役割の割り当て管理:システムが割り当てられたIDが削除されたときに、ロール割り当ては自動的に削除されません。これらの割り当てが手動で削除されていることを確認して、役割の割り当て制限を超えないようにし、清潔な環境を維持します[1]。
5.迅速なリソースの作成を避ける:システムが割り当てられたアイデンティティを備えたリソースを迅速に作成する場合は慎重になります。これにより、Microsoft Entraオブジェクトの作成の速度制限につながり、Azureサブスクリプション制限を超える可能性があるためです[1]。
6。セキュリティ上の考慮事項:コード(Azure関数やロジックアプリなど)を実行するリソースにシステムに割り当てられたアイデンティティを割り当てる場合、これらのリソースにアクセスできるユーザーには、管理されたアイデンティティを介して悪用される可能性のある不必要なアクセス許可がないことを確認します[1]。
引用:
[1] https://learn.microsoft.com/en-us/entra/identity/manage-identities-azure-resources/managed-identity-best-practice-recommendations
[2] https://stackoverflow.com/questions/67578296/what-er-the-best-practices to-create-a-user-assigned-managed-Identity-for-an-az
[3] https://www.varonis.com/blog/azure-managed-identities
[4] https://docs.azure.cn/en-us/automation/enable-managed-identity-for-automation
[5] https://learn.microsoft.com/en-us/entra/identity/manage-identities-azure-resources/overview
[6] https://cloudtips.nl/the-magic-of-azure-managed-identities-%ef%B8%8F-8F-19747C37E652
[7] https://docs.azure.cn/en-us/entra/identity/manage-identities-azure-resources/overview-for-developers
[8] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-managed-identities/