Azureでユーザーが割り当てられたマネージドアイデンティティの適切なセキュリティを確保するには、いくつかの重要な戦略が含まれます。
1。階層化された管理モデルを実装:ユーザーアカウントが同様の権限を持つ管理されたアイデンティティのみにアクセスできることを確認します。低レベルのアカウントがより高い特権のあるアイデンティティにアクセスできるようにしないでください[2]。
2。許可を慎重に管理する:管理されたアイデンティティに付与された権限に注意してください。特に高い特権のために、これらの許可を定期的に監査します。アプリと管理されたアイデンティティに割り当てられた高優先権許可を報告するツールを作成することを検討してください[2]。
3.ロールベースのアクセス制御(RBAC)を使用:RBACを使用して、管理されたアイデンティティを割り当てるか管理できるかを制御します。これにより、不正アクセスを防ぐのに役立ち、アイデンティティが適切に使用されることを保証します[3]。
4。モニターとアラート:管理されたアイデンティティ割り当ての変更について監視と警告を設定します。これにより、不正な割り当てにすばやく応答できます[3]。
5.最小特権の原則に従ってください:グラントマネージドアイデンティティは、タスクを実行するために必要な許可のみを管理します。アイデンティティが損なわれた場合にセキュリティリスクを高める可能性のある不必要な権限を付与することは避けてください[5]。
6.ユーザーが割り当てられたアイデンティティを手動で管理する:ユーザーが割り当てたアイデンティティには独立したライフサイクルがあるため、不要になったときに手動で削除します。また、役割の割り当て制限を超えることを避けるために、管理されたアイデンティティを削除した後にロール割り当てが削除されることを確認します[5] [6]。
7.セキュリティグループとリソースロックを使用する:セキュリティグループを使用して、必要なロール割り当ての数を減らすことを検討してください。リソースロックは、偶発的な削除や重要なリソースの変更を防ぐのにも役立ちます[3]。
引用:
[1] https://learn.microsoft.com/en-us/entra/identity/manage-identities-azure-resources/how-manage-user-user-usigned-managed-identities
[2] https://practical365.com/heard-at-tec-mischief-managed- attacking-securing-azure-managed-identives/
[3] https://www.reddit.com/r/azure/comments/175ewbq/managed_identity_how_to_prevent_others_from_using/
[4] https://learn.microsoft.com/en-us/entra/identity/manage-identities-azure-resources/how-to-configure-managed-identities
[5] https://learn.microsoft.com/en-us/entra/identity/manage-identities-azure-resources/managed-identity-best-practice-recommendations
[6] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-managed-identities/
[7] https://www.evolvesecurity.com/blog-posts/securing-azure-managed-identities
[8] https://docs.azure.cn/en-us/automation/enable-managed-identity-for-automation