Systémově přiřazené spravované identity v Azure mají omezení, pokud jde o konfigurace firewall, především kvůli jejich vlastní povaze a jak interagují s nastavením zabezpečení sítě. Zde je několik klíčových bodů, které je třeba zvážit:
1. Nedostatek přímého řízení brány firewall: Spravované spravované identity přiřazené systémem jsou automaticky vytvářeny a spravovány zdroji Azure. Neposkytují přímou kontrolu nad konfiguracemi brány firewall. To znamená, že pokud potřebujete aplikovat konkrétní pravidla brány firewall na zdroj, možná je pro vás náročnější s identitami přiřazenou systémem ve srovnání s uživateli, které lze flexibilněji spravovat.
2. Identita specifická pro zdroje: Spravovaná identita přiřazená systémem je spojena s životním cyklem zdroje, ke kterému jsou přiřazeny. To znamená, že pokud potřebujete aplikovat konzistentní pravidla brány firewall napříč více zdroji, nemusí být používání identity přiřazených systémem tak efektivní jako používání identity přiřazených uživatelem, které lze sdílet napříč zdroji.
3. Omezená flexibilita v konfiguraci sítě: Protože jsou identity přiřazené systémem automaticky spravovány, nenabízejí stejnou úroveň flexibility při konfiguraci nastavení sítě, včetně pravidel brány firewall, jak to dělá identity přiřazené uživatelem. To může být omezení, pokud potřebujete implementovat komplexní konfigurace zabezpečení sítě.
4. Obnovení a aktualizace Omezení: Změny oprávnění nebo členství ve skupině pro spravovanou identitu, včetně těch, které jsou přidělené systémem, mohou šířit několik hodin kvůli šíření kvůli tokenovému ukládání do mezipaměti. Toto zpoždění může ovlivnit, jak rychle se změní pravidla brány firewall, pokud se spoléhají na oprávnění identity.
Celkově, zatímco spravovanou identitou přiřazenou systémem jsou vhodné pro jednoduché scénáře a dodržují princip nejmenších privilegií, nemusí být ideální pro komplexní konfigurace firewall nebo scénáře vyžadující větší kontrolu nad nastavením zabezpečení sítě.
Citace:
[1] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/managed-identity-best-praktice-recomingmendations
[2] https://cloud.google.com/firewall/docs/firewalls
[3] https://www.reddit.com/r/azure/comments/xkzxrc/azure_managed_identity_vs_user_asssigned_managed/
[4] https://www.cisco.com/c/en/us/td/docs/security/secure-firewall/management-center/device-config/760/management-center-device-config-76/identity-overview.html
[5] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/managed-identities-faq
[6] https://learn.microsoft.com/en-us/azure/api-management/api-management-howto-use-aged-service-identity
[7] https://docs.azure.cn/en-us/logic-apps/authenticate-with-anaged-identity
[8] https://help.zerto.com/bundle/install.ma.html.90/page/enabling_user_assigned_managed_identties_and_setting_mandatory_permissions_in_azure.htm
[9] https://katiekodes.com/entra-azure-system-ASsigned-aged-identity/