A rendszer által előállított kezelt identitások használatakor az Azure-ban számos bevált gyakorlat segíthet optimalizálni a használatukat:
1. Használat egyetlen erőforrás-munkaterheléshez: A rendszerhez igazított identitások ideálisak egyetlen Azure-erőforrásban található munkaterhelésekhez. Ezeket automatikusan létrehozzák és törlik az erőforrásokkal, egyszerűsítve a menedzsmentet olyan erőforrásokhoz, amelyeknek nem kell megosztaniuk az identitást [5] [6].
2. könyvvizsgálati naplózás és engedélyek kezelése: A rendszerhez igazított identitások akkor előnyösek, ha a műveleteket speciális erőforrásokkal kell naplózni, vagy olyan engedélyeket kell kezelni, amelyeket az erőforrás törlésekor el kell távolítani. Ez biztosítja, hogy minden erőforrásnak megvan a saját identitása a könyvvizsgálati célokra, és hogy az engedélyeket automatikusan visszavonják, amikor az erőforrást törlik [1] [5].
3. legkevesebb kiváltsági elv: Mindig adja meg a legkevesebb engedélyt a kezelt személyazonossághoz. Ez minimalizálja a biztonsági kockázatot, ha az identitás veszélybe kerül. Gondoskodjon arról, hogy az identitás csak hozzáférjen a működéshez szükséges erőforrásokhoz és tevékenységekhez [1] [7].
4. Győződjön meg arról, hogy ezeket a feladatokat manuálisan távolítják el a szerepfeladási korlátok túllépése és a tiszta környezet fenntartása érdekében [1].
5. Kerülje el a gyors erőforrás-létrehozást: Legyen óvatos, ha a rendszer által előállított identitásokkal gyors erőforrásokat hoz létre, mivel ez a Microsoft Entra objektumok alkotásainak sebességkorlátozásához vezethet, és meghaladhatja az Azure előfizetési korlátokat [1].
6. Biztonsági megfontolások: Ha a rendszer által hozzárendelt identitásokat hozzárendelnek a kódot végrehajtó erőforrásokhoz (mint például az Azure funkciók vagy a logikai alkalmazások), akkor gondoskodjon arról, hogy az ezekhez az erőforrásokhoz hozzáférő felhasználók ne rendelkezzenek szükségtelen engedélyekkel, amelyeket a kezelt identitás révén ki lehet használni [1].
Idézetek:
[1] https://learn.microsoft.com/en-us/entra/identity/managed-entities-azure-resources
[2] https://stackoverflow.com/questions/67578296/what-e-the-the-practies-to-create-a-user-sistigned- Managed-identity--an-az
[3] https://www.varonis.com/blog/azure-anaged-identities
[4] https://docs.azure.cn/en-us/automation/enable-anaged-entity-for-automation
[5] https://learn.microsoft.com/en-us/entra/identity/managed-entities-azure-resources/oveview
[6] https://cloudtips.nl/the-magic-of-azure-anaged-entities-%EF%B8%8F-19747C37E652
[7] https://docs.azure.cn/en-us/entra/identity/managed-entities-azure-resources/oveview-for-developers
[8] https://www.redgate.com/simple-talk/cloud/azure/azure-function-and-user-asigned-anaged-entities/