Die systembedingten verwalteten Identitäten in Azure haben Einschränkungen bei Firewall-Konfigurationen, vor allem aufgrund ihrer inhärenten Art und ihrer Interaktion mit den Einstellungen für Netzwerksicherheit. Hier sind einige wichtige Punkte zu berücksichtigen:
1. Mangel an direkter Firewall-Steuerung: Die systembedingte verwaltete Identitäten werden automatisch von Azure-Ressourcen erstellt und verwaltet. Sie bieten keine direkte Kontrolle über Firewall -Konfigurationen. Wenn Sie bestimmte Firewall-Regeln auf eine Ressource anwenden müssen, werden Sie dies möglicherweise mit systembedingten Identitäten im Vergleich zu benutzerdefinierten, die flexibler verwaltet werden, möglicherweise schwieriger.
2. Ressourcenspezifische Identität: Systems zugewiesene verwaltete Identitäten sind an den Lebenszyklus der Ressource gebunden, denen sie zugewiesen sind. Dies bedeutet, dass, wenn Sie konsistente Firewall-Regeln über mehrere Ressourcen hinweg anwenden müssen, und die Verwendung systembedingter Identitäten möglicherweise nicht so effizient ist wie die Verwendung von benutzerdefinierten Identitäten, die über Ressourcen hinweg geteilt werden können.
3.. Begrenzte Flexibilität in der Netzwerkkonfiguration: Da systembedingte Identitäten automatisch verwaltet werden, bieten sie nicht die gleiche Flexibilität bei der Konfiguration von Netzwerkeinstellungen, einschließlich Firewall-Regeln, wie benutzerdefinierte Identitäten. Dies kann eine Einschränkung sein, wenn Sie komplexe Konfigurationen für Netzwerksicherheit implementieren müssen.
4. Einschränkungen Aktualisieren und Aktualisieren: Änderungen an Berechtigungen oder Gruppenmitgliedschaften für verwaltete Identitäten, einschließlich der systembedingten, können aufgrund einer Token-Caching mehrere Stunden dauern. Diese Verzögerung kann beeinflussen, wie schnell Änderungen der Firewall -Regel wirksam werden, wenn sie sich auf Identitätsberechtigungen verlassen.
Während systembedingte verwaltete Identitäten für einfache Szenarien geeignet sind und sich an das Prinzip der geringsten Privilegien halten, sind sie möglicherweise nicht ideal für komplexe Firewall-Konfigurationen oder -Szenarien, die mehr Kontrolle über die Einstellungen für Netzwerksicherheit erfordern.
Zitate:
[1] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/managed-identity-best-practice-recommendations
[2] https://cloud.google.com/firewall/docs/firewalls
[3] https://www.reddit.com/r/azure/comments/xkzxrc/azure_managed_identity_vs_user_assigned_managed/
[4] https://www-
[5] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/managed-identies-faq
[6] https://learn.microsoft.com/en-us/azure/api-management/api-management-howto-use-managed-service-identity
[7] https://docs.azure.cn/en-us/logic-apps/authenticate-with-managed-identity
[8] https://help.zerto.com/bundle/install.ma.html.90/page/enabling_user_assigned_managed_idallities_and_seting_mandatory_permissions_in_azure.htm
[9] https://katiekodes.com/entra-azure-system-signed-managed-identity/