При использовании системных управляемых идентичностей в Azure несколько лучших практик могут помочь оптимизировать их использование:
1. Использование для рабочих нагрузок с одним ресурсом: идентификации, назначенные системой, идеально подходят для рабочих нагрузок, содержащихся в одном ресурсе Azure. Они автоматически создаются и удаляются с ресурсом, упрощая управление ресурсами, которые не должны делиться идентификаторами [5] [6].
2. Управление регистрацией и разрешениями аудита: идентификаторы, назначенные системой, полезны, когда вам необходимо регистрировать действия с помощью конкретных ресурсов или управления разрешениями, которые следует удалить при удалении ресурса. Это гарантирует, что каждый ресурс имеет свою собственную идентичность в целях аудита и что разрешения автоматически отозваны при удалении ресурса [1] [5].
3. Принцип наименьшей привилегии: всегда предоставляйте наименьшие разрешения, необходимые для управляемой личности. Это сводит к минимуму риск безопасности, если личность скомпрометирована. Убедитесь, что идентичность имеет доступ только к ресурсам и действиям, необходимым для ее работы [1] [7].
4. Управление назначением ролей: назначения ролей не удаляются автоматически, когда удаляется система, назначенная системой. Убедитесь, что эти задания удалены вручную, чтобы избежать превышающих пределов назначения роли и поддерживать чистую среду [1].
5. Избегайте быстрого создания ресурсов: будьте осторожны при быстрое создание ресурсов с помощью системы, подтвержденных системой, так как это может привести к ограничениям скорости на создании объектов Microsoft Entra и может превышать ограничения подписки Azure [1].
6. Соображения безопасности: При назначении системных идентификаций ресурсам, которые выполняют код (например, функции Azure или логические приложения), убедитесь, что пользователи, имеющие доступ к этим ресурсам, не имеют ненужных разрешений, которые могут быть использованы через управляемую идентичность [1].
Цитаты:
[1] https://learn.microsoft.com/en-us/entra/identity/managed-idedities-azure-resources/managed-identity-best-practice-reecommendations
[2] https://stackoverflow.com/questions/67578296/what-are-the-best-practices-to-create-a-user-assigned-dagedation-idedity-for-an-az
[3] https://www.varonis.com/blog/azure-managed-ederity
[4] https://docs.azure.cn/en-us/automation/enable- Managed-ideity-for-automation
[5] https://learn.microsoft.com/en-us/entra/identity/managed-idedities-azure-resources/overview
[6] https://cloudtips.nl/the-magic-of-azure- Managed-Edentities-%EF%B8%8F-19747C37E652
[7] https://docs.azure.cn/en-us/entra/identity/managed-idedities-azure-resources/overview-for-developers
[8] https://www.red-gate.com/simple-talk/cloud/azure/azure-funct-and-user-assigned-managed-identities/