Podczas korzystania z zarządzanych systemów tożsamości na platformie Azure, kilka najlepszych praktyk może pomóc zoptymalizować ich użycie:
1. Użyj do obciążeń związanych z pojedynczym zasobem: Tożsamości przypisane systemem są idealne do obciążeń zawartych w jednym zasobie Azure. Są one automatycznie tworzone i usuwane z zasobem, upraszczając zarządzanie zasobami, które nie muszą dzielić tożsamości [5] [6].
2. Zarządzanie rejestrowanie i uprawnienia audytu: Tożsamości przypisane systemem są korzystne, gdy trzeba rejestrować działania za pomocą określonych zasobów lub zarządzanie uprawnieniami, które należy usunąć po usunięciu zasobu. Zapewnia to, że każdy zasób ma własną tożsamość do celów audytu i że uprawnienia są automatycznie cofnięte po usunięciu zasobu [1] [5].
3. Zasada najmniejszych przywilejów: Zawsze udzielaj najmniejszych uprawnień niezbędnych do zarządzanej tożsamości. Minimalizuje to ryzyko bezpieczeństwa, jeśli tożsamość jest zagrożona. Upewnij się, że tożsamość ma dostęp tylko do zasobów i działań wymaganych do jej działania [1] [7].
4. Zarządzanie przypisaniem ról: Przypisania ról nie są automatycznie usuwane po usunięciu tożsamości przypisanej systemem. Upewnij się, że te zadania są ręcznie usuwane, aby uniknąć przekroczenia limitów przypisania ról i utrzymania czystego środowiska [1].
5. Unikaj szybkiego tworzenia zasobów: zachowaj ostrożność, gdy szybko tworzy zasoby o tożsamości przypisywanej systemem, ponieważ może to prowadzić do ograniczeń prędkości w tworzeniu obiektów Microsoft Entra i może przekroczyć limity subskrypcji platformy Azure [1].
6. Rozważania dotyczące bezpieczeństwa: Przypisując tożsamości przypisane systemem do zasobów, które wykonują kod (takie jak funkcje Azure lub aplikacje logiczne), upewnij się, że użytkownicy dostępu do tych zasobów nie mają niepotrzebnych uprawnień, które można wykorzystać za pomocą zarządzanej tożsamości [1].
Cytaty:
[1] https://learn.microsoft.com/en-us/entra/identity/Managed-identities-azure-resources/Managed-identity-best-practice-recommendations
[2] https://stackaverflow.com/questions/67578296/what-are-the-best-practices-to-create-a-user-assigned-anidentity-for-an-az
[3] https://www.varonis.com/blog/azure-managed-identities
[4] https://docs.azure.cn/en-us/automation/enable-ananaged-identity-for-automation
[5] https://learn.microsoft.com/en-us/entra/identity/Managed-identities-azure-resources/overview
[6] https://cloudtips.nl/the-magic-of-azure-ananaged-identities-%EF%B8%8F-19747C37E652
[7] https://docs.azure.cn/en-us/entra/identity/Managed-identities-azure-resources/overview-for-developers
[8] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-ananaged-identities/