Azure'da sistem atanmış yönetilen kimlikleri kullanırken, en iyi uygulamalar kullanımlarını optimize etmeye yardımcı olabilir:
1. Tek kaynak iş yükleri için kullanım: Sistem tarafından atanan kimlikler, tek bir Azure kaynağında bulunan iş yükleri için idealdir. Kimlikleri paylaşması gerekmeyen kaynaklar için yönetimi basitleştirerek kaynakla otomatik olarak oluşturulur ve silinirler [5] [6].
2. Denetim Günlüğü ve İzinler Yönetimi: Sistem tarafından atanan kimlikler, belirli kaynaklarla işlemleri günlüğe kaydetmeniz veya kaynak silindiğinde kaldırılması gereken izinleri yönetmeniz gerektiğinde faydalıdır. Bu, her kaynağın denetim amacıyla kendi kimliğine sahip olmasını ve kaynak silindiğinde izinlerin otomatik olarak iptal edilmesini sağlar [1] [5].
3. En az ayrıcalık prensibi: Her zaman yönetilen kimlik için gerekli en az izin verir. Bu, kimlik tehlikeye girerse güvenlik riskini en aza indirir. Kimliğin sadece operasyonu için gerekli kaynaklara ve eylemlere eriştiğinden emin olun [1] [7].
4. Rol Atama Yönetimi: Sistem tarafından atanan bir kimlik silindiğinde rol atamaları otomatik olarak silinmez. Rol atama sınırlarını aşmak ve temiz bir ortamı korumak için bu ödevlerin manuel olarak kaldırıldığından emin olun [1].
5. Hızlı Kaynak Oluşturma'dan Kaçının: Sistem tarafından atanan kimliklerle hızla kaynaklar oluştururken dikkatli olun, çünkü bu Microsoft Entra nesne yaratımlarında oran sınırlarına yol açabilir ve Azure abonelik sınırlarını aşabilir [1].
6. Güvenlik hususları: Kod yürüten kaynaklara (Azure işlevleri veya mantık uygulamaları gibi) sistem atanmış kimlikler atarken, bu kaynaklara erişimi olan kullanıcıların yönetilen kimlik yoluyla kullanılabilecek gereksiz izinlere sahip olmadığından emin olun [1].
Alıntılar:
[1] https://learn.microsoft.com/en-us/entra/identity/managed-enties-sure-resources/managed-enticity-best-practice-recommendations
[2] https://stackoverflow.com/questions/67578296/what-are-the-best-practicices-to-create-a-user-ssigned-managed-urnity-for-an-Az-
[3] https://www.varonis.com/blog/azure-managed-endentises
[4] https://docs.azure.cn/en-us/automation/enable-managed-entianity-for --utomation
[5] https://learn.microsoft.com/en-us/entra/identity/managed-enties-sure-resources/overview
[6] https://cloudtips.nl/the-magic-of-azure-manged-usures-%ef%b8%8f-19747c37e652
[7] https://docs.azure.cn/en-us/entra/identity/managed-enties-sources/ovview-for-for-de-veloperers
[8] https://www.red-gate.com/simple-talk/cloud/azure/azure-fonction-and-says-ssigned-anned-entiess/