Når du bruker systemtillitede administrerte identiteter i Azure, kan flere beste praksis bidra til å optimalisere bruken av dem:
1. Bruk for arbeidsmengder for enkelt ressurs: Systemantigede identiteter er ideelle for arbeidsmengder som finnes i en enkelt Azure-ressurs. De opprettes automatisk og slettet med ressursen, og forenkler styringen for ressurser som ikke trenger å dele identiteter [5] [6].
2. Revisjonslogging og tillatelsesstyring: Systemtilordnet identiteter er gunstige når du trenger å logge handlinger med spesifikke ressurser eller administrere tillatelser som bør fjernes når ressursen blir slettet. Dette sikrer at hver ressurs har sin egen identitet for revisjonsformål og at tillatelser automatisk blir opphevet når ressursen blir slettet [1] [5].
3. Minste privilegiumsprinsipp: Gi alltid minst tillatelser som er nødvendige for den administrerte identiteten. Dette minimerer sikkerhetsrisikoen hvis identiteten er kompromittert. Forsikre deg om at identiteten bare har tilgang til ressursene og handlingene som kreves for driften [1] [7].
4. Rolleoppgavehåndtering: Rolleoppgaver blir ikke automatisk slettet når en systemtillit identitet blir slettet. Forsikre deg om at disse oppgavene blir fjernet manuelt for å unngå å overskride rolleoppdragsgrensene og for å opprettholde et rent miljø [1].
5. Unngå hurtig ressursskaping: Vær forsiktig når du raskt skaper ressurser med systemtillitte identiteter, da dette kan føre til rate grenser for Microsoft Entra-objekt kreasjoner og kan overstige Azure abonnementsgrenser [1].
6. Sikkerhetshensyn: Når du tildeler systemantigede identiteter til ressurser som utfører kode (som Azure-funksjoner eller logiske apper), må du sikre at brukere har tilgang til disse ressursene ikke har unødvendige tillatelser som kan utnyttes gjennom den administrerte identiteten [1].
Sitasjoner:
[1] https://learn.microsoft.com/en-us/entra/identity/managed-Identities-azure-resources/managed-Identity-best-practice-recommendations
[2] https://stackoverflow.com/questions/67578296/what-are-the-best-practices-to-create-a-user-addiagned-managed-identitet-for-an-az
[3] https://www.varonis.com/blog/azure-managed-Identities
[4] https://docs.azure.cn/en-us/automation/enable-managed-Identity-for-automation
[5] https://learn.microsoft.com/en-us/entra/identity/managed-Identities-azure-resources/overview
[6] https://cloudtips.nl/the-magic-of-azure-managed-Identities-%EF%B8%8F-19747C37E652
[7] https://docs.azure.cn/en-us/entra/identity/managed-Identities-azure-resources/overview-for-de-developers
[8] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-managed-identities/