Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon Các thực tiễn tốt nhất để sử dụng danh tính được quản lý được chỉ định bởi hệ thống trong Azure


Các thực tiễn tốt nhất để sử dụng danh tính được quản lý được chỉ định bởi hệ thống trong Azure


Khi sử dụng danh tính được quản lý được chỉ định bởi hệ thống trong Azure, một số thực tiễn tốt nhất có thể giúp tối ưu hóa việc sử dụng chúng:

1. Sử dụng cho khối lượng công việc tài nguyên đơn: Nhận dạng được chỉ định hệ thống là lý tưởng cho khối lượng công việc có trong một tài nguyên Azure duy nhất. Chúng được tự động tạo và xóa với tài nguyên, đơn giản hóa việc quản lý cho các tài nguyên không cần chia sẻ danh tính [5] [6].

2. Quản lý ghi nhật ký và quản lý quyền kiểm toán: Nhận dạng được chỉ định hệ thống có lợi khi bạn cần ghi nhật ký hành động bằng các tài nguyên cụ thể hoặc quản lý các quyền cần được xóa khi tài nguyên bị xóa. Điều này đảm bảo rằng mỗi tài nguyên có danh tính riêng cho mục đích kiểm toán và các quyền được tự động bị thu hồi khi tài nguyên bị xóa [1] [5].

3. Nguyên tắc đặc quyền ít nhất: Luôn cấp các quyền ít nhất cần thiết cho danh tính được quản lý. Điều này giảm thiểu rủi ro bảo mật nếu danh tính bị xâm phạm. Đảm bảo rằng danh tính chỉ có quyền truy cập vào các tài nguyên và hành động cần thiết cho hoạt động của nó [1] [7].

4. Quản lý gán vai trò: Bài tập vai trò không được tự động xóa khi danh tính được chỉ định hệ thống bị xóa. Đảm bảo rằng các bài tập này được loại bỏ thủ công để tránh vượt quá giới hạn gán vai trò và để duy trì môi trường sạch sẽ [1].

5. Tránh tạo tài nguyên nhanh chóng: Hãy thận trọng khi nhanh chóng tạo tài nguyên với danh tính được chỉ định hệ thống, vì điều này có thể dẫn đến giới hạn tỷ lệ đối với các sáng tạo đối tượng Microsoft Entra và có thể vượt quá giới hạn đăng ký Azure [1].

6. Xem xét bảo mật: Khi gán danh tính được chỉ định hệ thống cho các tài nguyên thực thi mã (như hàm Azure hoặc ứng dụng logic), hãy đảm bảo rằng người dùng có quyền truy cập vào các tài nguyên này không có quyền không cần thiết có thể được khai thác thông qua danh tính được quản lý [1].

Trích dẫn:
[1] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/managed-identity-best-practice-recommendations
[2] https://stackoverflow.com/questions/67578296/what-are-the-best-practices-to-create-a-user-assigned-managed-identity-for-an-az
[3] https://www.varonis.com/blog/azure-managed-identities
[4] https://docs.azure.cn/en-us/automation/enable-managed-identity-for-automation
[5] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/overview
[6] https://cloudtips.nl/the-magic-of-azure-managed-identities-%EF%B8%8F-19747c37e652
[7] https://docs.azure.cn/en-us/entra/identity/managed-identities-azure-resources/overview-for-developers
.