Ao usar identidades gerenciadas atribuídas ao sistema no Azure, várias práticas recomendadas podem ajudar a otimizar seu uso:
1. Uso para cargas de trabalho de recursos únicos: as identidades atribuídas ao sistema são ideais para cargas de trabalho contidas em um único recurso do Azure. Eles são criados e excluídos automaticamente com o recurso, simplificando o gerenciamento de recursos que não precisam compartilhar identidades [5] [6].
2. O registro de auditoria e o gerenciamento de permissões: identidades atribuídas ao sistema são benéficas quando você precisa registrar ações por recursos específicos ou gerenciar permissões que devem ser removidas quando o recurso for excluído. Isso garante que cada recurso tenha sua própria identidade para fins de auditoria e que as permissões sejam revogadas automaticamente quando o recurso é excluído [1] [5].
3. Princípio de menos privilégio: sempre conceda as menos permissões necessárias à identidade gerenciada. Isso minimiza o risco de segurança se a identidade estiver comprometida. Certifique -se de que a identidade tenha acesso apenas aos recursos e ações necessários para sua operação [1] [7].
4. Gerenciamento de atribuição de função: As atribuições de função não são excluídas automaticamente quando uma identidade atribuída ao sistema é excluída. Certifique -se de que essas atribuições sejam removidas manualmente para evitar os limites de atribuição de função excedentes e manter um ambiente limpo [1].
5. Evite a criação rápida de recursos: seja cauteloso ao criar rapidamente recursos com identidades atribuídas ao sistema, pois isso pode levar a limites de taxa nas criações de objetos da Microsoft ENTRA e podem exceder os limites da assinatura do Azure [1].
6. Considerações de segurança: Ao atribuir identidades atribuídas ao sistema a recursos que executam código (como funções do Azure ou aplicativos lógicos), verifique se os usuários com acesso a esses recursos não têm permissões desnecessárias que possam ser exploradas através da identidade gerenciada [1].
Citações:
[1] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/managed-entity-best-practice-recommendations
[2] https://stackoverflow.com/questions/67578296/what-are-the-best-practices-to-create-a-user-signed-managed-entity-for-an-az
[3] https://www.varonis.com/blog/azure-managed-identities
[4] https://docs.azure.cn/en-us/automation/enable-managed-entity-for-automation
[5] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/overview
[6] https://cloudtips.nl/the-magic-ozure-managed-identities-%ef%B8%8F-19747C37E652
[7] https://docs.azure.cn/en-us/entra/identity/managed-identities-azure-resources/overview-for-developers
[8] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-sassigned-anaged-identities/