Pri používaní riadených identity pridelených systémom v Azure môže niekoľko osvedčených postupov pomôcť optimalizovať ich používanie:
1. Použitie pre pracovné zaťaženie s jedným zdrojom: identity pridelené do systému sú ideálne pre pracovné zaťaženie obsiahnuté v jednom zdroji Azure. Sú automaticky vytvorené a odstránené so zdrojom, čo zjednodušuje správu zdrojov, ktoré nepotrebujú zdieľať totožnosti [5] [6].
2. Audit protokolovanie a správa povolení: identity pridelené do systému sú prospešné, ak potrebujete zaznamenávať akcie podľa konkrétnych zdrojov alebo spravovať povolenia, ktoré by sa mali odstrániť po odstránení zdroja. To zaisťuje, že každý zdroj má svoju vlastnú identitu na účely auditu a že povolenia sa automaticky zrušujú, keď je prostriedok odstránený [1] [5].
3. Princíp najmenších privilégií: Vždy udeľte najmenšie povolenia potrebné pre spravovanú identitu. Toto minimalizuje bezpečnostné riziko, ak je identita ohrozená. Uistite sa, že totožnosť má prístup iba k zdrojom a akciám potrebným pre svoju prevádzku [1] [7].
4. Správa prideľovania rolí: Priradenia rolí sa pri odstraňovaní identity pridelenej systému automaticky nevymaže. Uistite sa, že tieto priradenia sa manuálne odstránia, aby sa predišlo prekročeniu limitov prideľovania rolí a aby sa udržalo čisté prostredie [1].
5. Vyhnite sa rýchlemu vytváraniu zdrojov: Buďte opatrní pri rýchlom vytváraní zdrojov s identitami pridelenými systémom, pretože to môže viesť k obmedzeniam rýchlosti výtvorov objektov spoločnosti Microsoft Entra a môže prekročiť limity predplatného Azure [1].
7
Citácie:
[1] https://learn.microsoft.com/en-us/entra/identity/managed-identies-azure-resources/Managed-identity-best-practice-cordmencations
[2] https://stackoverflow.com/questions/67578296/what-are-the-best-practices-to-create-a-user-assigned-maned-maned-identity-for-an-az
[3] https://www.varonis.com/blog/azure-managed-identities
[4] https://docs.azure.cn/en-us/automation/enable-managed-identity-for-automation
[5] https://learn.microsoft.com/en-us/entra/identity/managed-identies-azure-resources/overview
[6] https://cloudtips.nl/the-magic-of-azure-managed-identies-%EF%B8%8F-19747C37E652
[7] https://docs.azure.cn/en-us/entra/identity/maned-identies-azure-resources/overview-for-developers
[8] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-managed-identities/