Pri uporabi upravljanih identitet, dodeljenih sistemu v Azure, lahko več najboljših praks pomaga optimizirati njihovo uporabo:
1. Uporaba za enotne obremenitve z enim virom: Identitete, dodeljene v sistem, so idealne za delovne obremenitve, ki jih vsebuje en sam vir Azure. Samodejno se ustvarijo in izbrišejo z virom, kar poenostavi upravljanje za vire, ki jim ni treba deliti identitet [5] [6].
2.. Upravljanje beleženja in dovoljenja za revizijo: Identitete, dodeljene sistemu, so koristne, če morate dejanja zabeležiti po določenih virih ali upravljati dovoljenja, ki jih je treba odstraniti, ko se vir izbriše. To zagotavlja, da ima vsak vir svojo identiteto za revizijske namene in da se dovoljenja samodejno prekličejo, ko se vir izbriše [1] [5].
3. Načelo najmanjših privilegijev: Vedno dajte najmanj dovoljenj, potrebnih za upravljano identiteto. To zmanjša varnostno tveganje, če je identiteta ogrožena. Zagotovite, da ima identiteta samo dostop do virov in ukrepov, potrebnih za njegovo delovanje [1] [7].
4. Upravljanje dodelitve vlog: Dodelitve vlog se ne izbrišejo samodejno, ko se izbriše identiteta, dodeljena sistemu. Prepričajte se, da se te naloge ročno odstranijo, da se izognete preseganju omejitev dodelitve vlog in ohranite čisto okolje [1].
5. Izogibajte se hitremu ustvarjanju virov: Bodite previdni pri hitrem ustvarjanju virov s sistemom, dodeljenimi identitetami, saj lahko to privede do omejitev hitrosti pri kreacijah objektov Microsoft Entra in lahko presega omejitve naročnine na Azure [1].
6. Varnostni premisleki: Pri dodeljevanju sistema, dodeljenih identiteti viri, ki izvajajo kodo (na primer funkcije Azure ali logične aplikacije), zagotovite, da uporabniki z dostopom do teh virov nimajo nepotrebnih dovoljenj, ki bi jih bilo mogoče izkoristiti z upravljano identiteto [1].
Navedbe:
[1] https://learn.microsoft.com/en-us/entra/identy/managed-identity-azure-resources/managed-identity-best-practice-reComventions
[2] https://stackoverflow.com/Questions/67578296/what-are-the-best-practices-to-create-auser-assigned-upravljav-isidenty-for-an-az
[3] https://www.varonis.com/blog/azure-managed-identes
[4] https://docs.azure.cn/en-us/automation/enable-managed-identy-for-automation
[5] https://learn.microsoft.com/en-us/entra/identy/managed-identity-azure-resources/overview
[6] https://cloudtips.nl/the-magic-of-azure-managed-identes-%EF%B8%8F-19747C37E652
[7] https://docs.azure.cn/en-us/entra/identity/managed-identity-azure-resources/overview-for-developers
[8] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-managed-identes/