Al usar identidades administradas asignadas por el sistema en Azure, varias mejores prácticas pueden ayudar a optimizar su uso:
1. Use para cargas de trabajo de recursos individuales: las identidades asignadas al sistema son ideales para cargas de trabajo contenidas dentro de un solo recurso de Azure. Se crean y eliminan automáticamente con el recurso, simplificando la gestión de los recursos que no necesitan compartir identidades [5] [6].
2. Gestión de registro y permisos de auditoría: las identidades asignadas al sistema son beneficiosas cuando necesita registrar acciones por recursos específicos o administrar permisos que deben eliminarse cuando se elimina el recurso. Esto asegura que cada recurso tenga su propia identidad para fines de auditoría y que los permisos se revocen automáticamente cuando se elimina el recurso [1] [5].
3. Principio de menor privilegio: siempre otorgue los menos permisos necesarios para la identidad administrada. Esto minimiza el riesgo de seguridad si la identidad se ve comprometida. Asegúrese de que la identidad solo tenga acceso a los recursos y acciones necesarias para su operación [1] [7].
4. Gestión de asignación de roles: las asignaciones de roles no se eliminan automáticamente cuando se elimina una identidad asignada por el sistema. Asegúrese de que estas tareas se eliminen manualmente para evitar exceder los límites de asignación de roles y mantener un entorno limpio [1].
5. Evite la creación rápida de recursos: tenga cuidado al crear rápidamente recursos con identidades asignadas al sistema, ya que esto puede conducir a límites de velocidad en las creaciones de objetos de Microsoft Entra y puede exceder los límites de suscripción de Azure [1].
6. Consideraciones de seguridad: al asignar identidades asignadas al sistema a recursos que ejecutan código (como funciones de Azure o aplicaciones lógicas), asegúrese de que los usuarios con acceso a estos recursos no tengan permisos innecesarios que puedan explotarse a través de la identidad administrada [1].
Citas:
[1] https://learn.microsoft.com/en-us/entra/ididentity/managed-identity-azure-resources/managed-identity-best-practice-retmendations
[2] https://stackoverflow.com/questions/67578296/what- are-the-best-practices-to-create-a-a-user-signed-didentity-for-an-Az
[3] https://www.varonis.com/blog/azure-genered-identies
[4] https://docs.azure.cn/en-us/automation/enable-managed-identity-for-automation
[5] https://learn.microsoft.com/en-us/entra/identity/managed-identity-azure-resources/overview
[6] https://cloudtips.nl/the-magic-of-azure-didenties-%ef%B8%8F-19747c37e652
[7] https://docs.azure.cn/en-us/entra/identity/managed-identity-azure-resources/overview-for-developers
[8] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-didentities/