确保Azure中用户分配的托管身份的正确安全性涉及几种关键策略:
1。实施分层管理模型:确保用户帐户只能访问具有相似权限的托管身份。避免允许较低级别的帐户访问具有较高特权的身份[2]。
2。仔细管理权限:对授予托管身份的权限谨慎。定期审核这些权限,尤其是为了获得更高的特权。考虑创建工具以报告分配给应用程序和托管身份的高优先级权限[2]。
3.使用基于角色的访问控制(RBAC):使用RBAC控制谁可以分配或管理托管身份。这有助于防止未经授权的访问并确保适当使用身份[3]。
4.监视和警报:设置监视和警报托管身份分配的变化。这使您可以快速响应未经授权的作业[3]。
5。遵循至少特权的原则:授予托管身份仅执行其任务的必要权限。避免授予不必要的许可,如果身份受到损害,可能会增加安全风险[5]。
6。手动管理用户分配的身份:由于用户分配的身份具有独立的生命周期,因此在不再需要时手动删除它们。另外,确保在删除托管身份后删除角色分配以避免超过角色分配限制[5] [6]。
7.使用安全组和资源锁:考虑使用安全组减少所需的角色分配数量。资源锁还可以帮助防止意外删除或修改关键资源[3]。
引用:
[1] https://learn.microsoft.com/en-us/entra/enteity/managed-indiestities-indentities-indiesities-ientities-ientities-iendity-siondity-manage-manage-user-usigh-managed-managed-indistities
[2] https://practical365.com/heard-at-tec-tec-mischief-manate-managed-Attacking-and-securing-securing-secured-managed-indistities/
[3] https://www.reddit.com/r/azure/comments/175ewbq/managed_identity_how_to_prevent_prevent_prevent_others_from_used/
[4] https://learn.microsoft.com/en-us/entra/indentity/managed-indiestities-indentities-indiesities-iendity-azure-resources/how-to-configure-managed-indistities
[5] https://learn.microsoft.com/en-us/entra/enterity/managed-indiestities-indentities-indiesities-iendities-iendities-iendity-siondity-nidecy-indendity-best-best-practice-ractice-ractice-recmmentations
[6] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-yser-shassed-managed-indistities/
[7] https://www.evolvesecurity.com/blog-posts/securing-azure-managed-istentity
[8] https://docs.azure.cn/en-us/automation/enable-manage-nideity-for-automation