Kai „Azure“ naudoja sistemą skirtas valdomas tapatybes, keli geriausios praktikos priemonės gali padėti optimizuoti jų naudojimą:
1. Naudokite vieno šaltinio darbo krūviams: Sistemos paskyrimo tapatybės yra idealios darbo krūviams, esantiems viename „Azure“ šaltinyje. Jie automatiškai sukuriami ir ištrinami ištekliais, supaprastinant išteklių, kuriems nereikia dalytis tapatybėmis, valdymą [5] [6].
2. Audito registravimo ir leidimų valdymas: Sistemos priskyrimo tapatybės yra naudingos, kai reikia registruoti veiksmus pagal konkrečius išteklius arba valdyti leidimus, kurie turėtų būti pašalinti, kai ištekliai ištrinami. Tai užtikrina, kad kiekvienas šaltinis turi savo tapatybę audito tikslais ir kad leidimai automatiškai atšaukiami, kai išteklius ištrinamas [1] [5].
3. Mažiausiai privilegijos principas: Visada suteikite mažiausiai leidimų, reikalingų valdomam tapatybei. Tai sumažina saugumo riziką, jei tapatumas yra pažeistas. Įsitikinkite, kad tapatumas turi prieigą tik prie jo veikimui reikalingų išteklių ir veiksmų [1] [7].
4. Vaidmenų priskyrimo valdymas: Vaidmenų priskyrimai nėra automatiškai ištrinami, kai ištrynus sistemai paskirta tapatybė. Įsitikinkite, kad šios užduotys yra rankiniu būdu pašalinamos, kad būtų išvengta vaidmens priskyrimo ribų ir palaikyti švarią aplinką [1].
5. Venkite greito išteklių sukūrimo: būkite atsargūs, kai greitai kurkite išteklius su sistemos paskirta tapatybėmis, nes tai gali sukelti greičio apribojimus „Microsoft Entra“ objektų kūrybai ir gali viršyti „Azure“ prenumeratos ribas [1].
6. Saugumo aspektai: Paskirdami sistemai skirtas tapatybes ištekliams, vykdantiems kodą (pvz., „Azure“ funkcijas ar logines programas), įsitikinkite, kad prieigos prie šių išteklių vartotojai neturi nereikalingų leidimų, kuriuos būtų galima išnaudoti naudojant valdomą tapatybę [1].
Citatos:
[1] https://learn.microsoft.com/en-us/entra/identity/managed-dentitity-azure-resources/managed-dentity-best-praktice-recomendations
[2] https://stackoverflow.com/questions/67578296/what-are-best-best-praktices-to-create-a-a-user-signed- Managed-dident-for-an-az
[3] https://www.varonis.com/blog/azure-Managed-didtities
[4] https://docs.azure.cn/en-us/automation/enable-Managed-dentity-for-automation
[5] https://learn.microsoft.com/en-us/entra/identity/managed-dentitity-azure-resources/overview
[6] https://cloudtips.nl/the-magic-of-azure-langed-entittities-%ef%B8%8F-19747C37E652
[7] https://docs.azure.cn/en-us/entra/identity/managed-dentitity-azure-resources/overview-for-developers
[8] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-langed-didtities/