当使用Azure中的系统分配的托管身份时,几种最佳实践可以帮助优化其使用:
1。用于单个资源工作负载:系统分配的身份非常适合单个Azure资源中包含的工作负载。它们是自动创建和删除资源的,简化了不需要共享身份的资源的管理[5] [6]。
2。审核日志记录和权限管理:当您需要通过特定资源或管理资源删除时应删除应删除的特定资源或管理权限的操作时,系统分配的身份是有益的。这样可以确保每个资源都有自己的身份用于审核目的,并且在删除资源时会自动撤销权限[1] [5]。
3。最低特权原则:始终授予托管身份所必需的最低权限。如果身份受到损害,这样可以最大程度地减少安全风险。确保身份只能访问其操作所需的资源和动作[1] [7]。
4.角色分配管理:当删除系统分配的身份时,角色分配不会自动删除。确保手动删除这些作业,以避免超过角色分配限制并保持清洁的环境[1]。
5。避免快速的资源创建:在快速创建具有系统分配的身份的资源时要谨慎,因为这可能会导致对Microsoft Entra对象创建的速率限制,并且可能超过Azure订阅限制[1]。
6.安全注意事项:将系统分配的身份分配给执行代码的资源(例如Azure函数或逻辑应用程序)时,请确保具有访问这些资源的用户没有不必要的权限,这些权限可以通过托管身份[1]来利用。
引用:
[1] https://learn.microsoft.com/en-us/entra/indentity/managed-indiestities-indentities-indiesities-indiesities-iendity-resources/managed-indentity-best-practice-ractice-ractice-racmendations
[2] https://stackoverflow.com/questions/67578296/what-are-the-the-best-practices-to-create-a-a-user-asher-maned-maned-menated-nideity-nidentity-for-an-az
[3] https://www.varonis.com/blog/azure-managed-istentities
[4] https://docs.azure.cn/en-us/automation/enable-manage-nideity-for-automation
[5] https://learn.microsoft.com/en-us/entra/indentity/managed-indentities-indentities-indistities-iendity-azure-resources/overview
[6] https://cloudtips.nl/the-magic-of-azure-managed-indistities-indistities-indistities-indisties-mentities-mentities-vis%B8%8F-19747C37E652
[7] https://docs.azure.cn/en-us/entra/enterity/managed-indentities-indentities-indiesities-iendities-ientity-siondity-sientity-nideity-nideity-niendity-niendity-nideity-siondity-mendities-nideity/overview-for-developers
[8] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-yser-shassed-managed-indistities/