Використовуючи керовані системними особами в Azure, кілька найкращих практик можуть допомогти оптимізувати їх використання:
1. Використання для навантаження на один ресурс: Система, призначені до системи, ідеально підходять для навантажень, що містяться в одному ресурсі Azure. Вони автоматично створюються та видаляються за допомогою ресурсу, спрощуючи управління для ресурсів, які не повинні ділитися ідентичністю [5] [6].
2. Управління реєстраціями аудиту та управління дозволами: Система, призначені до системи, корисні, коли вам потрібно реєструвати дії за певними ресурсами або керувати дозволами, які слід усунути при видаленні ресурсу. Це гарантує, що кожен ресурс має свою ідентичність для аудиторських цілей і що дозволи автоматично скасовуються при видаленні ресурсу [1] [5].
3. Принцип найменшого привілею: завжди надайте найменші дозволи, необхідні керованій особі. Це мінімізує ризик безпеки, якщо ідентичність порушена. Переконайтесь, що особистість має лише доступ до ресурсів та дій, необхідних для його роботи [1] [7].
4. Управління рольами: Рольові завдання не видаляються автоматично, коли видаляється ідентичність, призначеної системи. Переконайтесь, що ці завдання були вилучені вручну, щоб уникнути перевищення обмежень на роль та підтримувати чисте середовище [1].
5. Уникайте швидкого створення ресурсів: будьте обережні, коли швидко створюючи ресурси з призначені системи ідентичності, оскільки це може призвести до обмежень щодо створення об'єктів Microsoft Entra і може перевищувати обмеження підписки Azure [1].
6. Міркування щодо безпеки: при призначенні особистих систем ідентичності ресурсам, які виконують код (наприклад, функції Azure або логічні програми), переконайтеся, що користувачі з доступом до цих ресурсів не мають зайвих дозволів, які можна було б використовувати за допомогою керованої ідентичності [1].
Цитати:
[1] https://learn.microsoft.com/en-us/entra/identity/managed-identity-azure-resources/managed-identity-best-practice-recommendations
[2] https://stackoverflow.com/questions/67578296/what-are-the-best-practices-to-create-a-user-assigned-managed-identity-for-an-az
[3] https://www.varonis.com/blog/azure-managed-identities
[4] https://docs.azure.cn/en-us/automation/enable-managed-identity-for-automation
[5] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/overview
[6] https://cloudtips.nl/the-magic-of-azure-managed-identities-%EF%B8%8F-19747C37E652
[7] https://docs.azure.cn/en-us/entra/ididentity/managed-azure-azure-resources/overview-for-developers
[8] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-managed-identities/