Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon Kāda ir labākā prakse, lai izmantotu sistēmu, kas paredzēta Azure, ar sistēmu, kas paredzēta pārvaldītai identitātei


Kāda ir labākā prakse, lai izmantotu sistēmu, kas paredzēta Azure, ar sistēmu, kas paredzēta pārvaldītai identitātei


Izmantojot sistēmu projektētās pārvaldītās identitātes Azure, vairākas labākās prakses var palīdzēt optimizēt to izmantošanu:

1. Izmantojiet vienotu resursu darba slodzi: Sistēmai paredzētās identitātes ir ideāli piemērotas darba slodzēm, kas atrodas vienā Azure resursā. Tie tiek automātiski izveidoti un izdzēsti ar resursu, vienkāršojot pārvaldību resursiem, kuriem nav jādalās identitātei [5] [6].

2. Revīzijas reģistrēšana un atļauju pārvaldība: Sistēmai paredzētās identitātes ir labvēlīgas, ja jums ir jāpārbauda darbības pēc īpašiem resursiem vai jāpārvalda atļaujas, kas jānoņem, kad resurss tiek izdzēsts. Tas nodrošina, ka katram resursam ir sava identitāte revīzijas nolūkos un atļaujas tiek automātiski atsauktas, kad resurss tiek izdzēsts [1] [5].

3. Vismazākais privilēģiju princips: vienmēr piešķiriet vismazāko atļauju pārvaldītajai identitātei. Tas samazina drošības risku, ja identitāte ir apdraudēta. Pārliecinieties, ka identitātei ir piekļuve tikai resursiem un darbībām, kas vajadzīgas tās darbībai [1] [7].

4. Lomu piešķiršanas pārvaldība: lomu uzdevumi netiek automātiski izdzēsti, kad tiek izdzēsta sistēmā paredzēta identitāte. Pārliecinieties, ka šie uzdevumi tiek manuāli noņemti, lai izvairītos no lomu piešķiršanas robežu pārsniegšanas un uzturētu tīru vidi [1].

5. Izvairieties no ātras resursu radīšanas: Esiet piesardzīgs, ātri izveidojot resursus ar sistēmas piešķirtajām identitātēm, jo ​​tas var izraisīt Microsoft Entra objekta izstrādājumu ātruma ierobežojumus un var pārsniegt Azure abonēšanas robežas [1].

6. Drošības apsvērumi: Piešķirot sistēmas noteiktu identitāti resursiem, kas izpilda kodu (piemēram, Azure funkcijas vai loģiskās lietotnes), pārliecinieties, ka lietotājiem, kuriem ir piekļuve šiem resursiem, nav nevajadzīgu atļauju, kuras varētu izmantot, izmantojot pārvaldīto identitāti [1].

Atsauces:
[1.]
.
[3] https://www.varonis.com/blog/azure-managed-identities
[4] https://docs.azure.cn/en-us/automation/enable-managed-identity-for-automation
[5] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/overview
[6.]
[7] https://docs.azure.cn/en-us/entra/identity/managed-identities-azure-resources/overview-for-evelopers
[8] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-managed-identities/