System-tildelte administrerede identiteter i Azure har begrænsninger, når det kommer til firewall-konfigurationer, primært på grund af deres iboende karakter, og hvordan de interagerer med netværkssikkerhedsindstillinger. Her er nogle nøglepunkter at overveje:
1. Mangel på direkte firewallkontrol: Systemdæmpede administrerede identiteter oprettes automatisk og styres af Azure Resources. De leverer ikke direkte kontrol over firewall -konfigurationer. Dette betyder, at hvis du har brug for at anvende specifikke firewall-regler på en ressource, kan du synes det er mere udfordrende med systemtildelte identiteter sammenlignet med brugertildelte, som kan styres mere fleksibelt.
2. ressourcespecifik identitet: System-tildelte administrerede identiteter er bundet til livscyklussen for den ressource, de tildeles. Dette betyder, at hvis du har brug for at anvende ensartede firewall-regler på tværs af flere ressourcer, er det ikke så effektivt at bruge systemtildelte identiteter som at bruge brugerudviklede identiteter, som kan deles på tværs af ressourcer.
3. Begrænset fleksibilitet i netværkskonfiguration: Da systemtildelte identiteter automatisk styres, tilbyder de ikke det samme niveau af fleksibilitet i konfiguration af netværksindstillinger, herunder firewall-regler, som brugerdæmpede identiteter gør. Dette kan være en begrænsning, hvis du har brug for at implementere komplekse netværkssikkerhedskonfigurationer.
4. Opdater og opdateringsbegrænsninger: Ændringer i tilladelser eller gruppemedlemskab for styrede identiteter, herunder systemtildelte, kan tage flere timer at forplantes på grund af token-cache. Denne forsinkelse kan påvirke, hvor hurtigt firewall -regelændringer træder i kraft, hvis de er afhængige af identitetstilladelser.
Samlet set, mens systemdusterede styrede identiteter er praktiske til enkle scenarier og overholder princippet om mindst privilegium, er de muligvis ikke ideelle til komplekse firewall-konfigurationer eller scenarier, der kræver mere kontrol over netværkssikkerhedsindstillinger.
Citater:
[1] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/managed-identity-best-practice-recommendations
[2] https://cloud.google.com/firewall/docs/firewalls
[3] https://www.reddit.com/r/azure/comments/xkzxrc/azure_managed_identity_vs_user_assigned_managed/
)
[5] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/managed-identities-faq
[6] https://learn.microsoft.com/en-us/azure/api-management/api-management-howto-brug-managed-service-identitet
[7] https://docs.azure.cn/en-us/logic-apps/authenticate-with-managed-identity
[8] https://help.zerto.com/bundle/install.ma.html.90/page/enabling_user_assigned_managed_identities_and_setting_handatory_permissions_in_azure.htm
[9] https://katiekodes.com/entra-azure-system-tildelt- Managed-Identity/