Azureのシステムが割り当てられたマネージドアイデンティティには、主に固有の性質とネットワークセキュリティ設定との対話方法が原因で、ファイアウォールの構成に関しては制限があります。考慮すべき重要なポイントがいくつかあります。
1.直接ファイアウォール制御の欠如:システムが割り当てられたマネージドアイデンティティは、Azure Resourcesによって自動的に作成および管理されます。ファイアウォールの構成を直接制御しません。つまり、特定のファイアウォールルールをリソースに適用する必要がある場合、ユーザーが割り当てられたアイデンティティと比較して、システムが割り当てられたアイデンティティをより柔軟に管理できる場合に、より挑戦的であることがわかります。
2。リソース固有のID:システムが割り当てられたマネージドアイデンティティは、割り当てられているリソースのライフサイクルに関連付けられています。つまり、複数のリソースに一貫したファイアウォールルールを適用する必要がある場合、システムに割り当てられたアイデンティティを使用することは、リソース間で共有できるユーザーが割り当てたアイデンティティを使用するほど効率的ではない可能性があります。
3.ネットワーク構成の限られた柔軟性:システムが割り当てられたアイデンティティが自動的に管理されるため、ユーザーが割り当てられたアイデンティティと同じように、ファイアウォールルールを含むネットワーク設定を構成する際に同じレベルの柔軟性を提供しません。複雑なネットワークセキュリティ構成を実装する必要がある場合、これは制限になる可能性があります。
4。リフレッシュおよび更新制限:システムが割り当てられたものを含むマネージドアイデンティティのアクセス許可またはグループメンバーシップの変更は、トークンキャッシュのために数時間かかることがあります。この遅延は、IDの許可に依存している場合、ファイアウォールのルールの変更がどれほど速く有効になるかに影響を与える可能性があります。
全体として、システムが割り当てられたマネージドアイデンティティは、単純なシナリオに便利であり、特権の少ない原則に準拠していますが、ネットワークセキュリティ設定をより強化する必要がある複雑なファイアウォール構成やシナリオには理想的ではない場合があります。
引用:
[1] https://learn.microsoft.com/en-us/entra/identity/manage-identities-azure-resources/managed-identity-best-practice-recommendations
[2] https://cloud.google.com/firewall/docs/firewalls
[3] https://www.reddit.com/r/azure/comments/xkzxrc/azure_managed_identity_vs_user_assigned_managed/
[4] https://www.cisco.com/c/en/us/td/docs/security/secure-firewall/management-center/device-config/760/management-center-device-76/Identity-Overview.html
[5] https://learn.microsoft.com/en-us/entra/identity/manage-identities-azure-resources/manage-identities-faq
[6] https://learn.microsoft.com/en-us/azure/api-management/api-management-howto-use-manage-service-アイデンティティ
[7] https://docs.azure.cn/en-us/logic-apps/authenticate-with-managed-identity
[8] https://help.zerto.com/bundle/install.ma.html.90/page/enabling_user_assigned_managed_identities_and_setting_mandatory_permissions_in_azure.htm
[9] https://katiekodes.com/entra-azure-system-assigned-managed-identity/