Azure의 시스템이 부여 된 관리 정체성은 방화벽 구성과 관련하여 주로 고유 한 특성과 네트워크 보안 설정과 어떻게 상호 작용하는지에 따라 한계가 있습니다. 고려해야 할 몇 가지 핵심 사항은 다음과 같습니다.
1. 직접 방화벽 제어 부족 : 시스템이 부여 된 관리 아이덴티티는 Azure Resources에 의해 자동으로 작성되고 관리됩니다. 방화벽 구성을 직접 제어하지 않습니다. 즉, 특정 방화벽 규칙을 리소스에 적용 해야하는 경우 사용자가 할당 된 아이덴티티에 비해 시스템이 부여 된 ID에 비해 시스템이 부여 된 ID가 더 어려워 질 수 있습니다.
2. 자원 별 정체성 : 시스템이 부여 된 관리 정체성은 그들이 할당 된 자원의 수명주기와 관련이 있습니다. 즉, 여러 리소스에 일관된 방화벽 규칙을 적용 해야하는 경우 시스템에 따라 정렬 된 ID를 사용하는 것이 사용자가 할당 된 ID를 사용하는 것만 큼 효율적이지 않을 수 있으며, 이는 리소스에서 공유 할 수 있습니다.
3. 네트워크 구성의 유연성 제한성 : 시스템에 따라 정렬 된 ID가 자동으로 관리되므로 사용자가 설계 한 ID와 마찬가지로 방화벽 규칙을 포함하여 네트워크 설정 구성에 동일한 수준의 유연성을 제공하지 않습니다. 복잡한 네트워크 보안 구성을 구현 해야하는 경우 제한이 될 수 있습니다.
4. 새로 고침 및 업데이트 제한 사항 : 시스템이 부여 된 신분을 포함하여 관리되는 신분을 포함한 권한 또는 그룹 멤버십 변경은 토큰 캐싱으로 인해 전파하는 데 몇 시간이 걸릴 수 있습니다. 이 지연은 방화벽 규칙 변경이 신원 권한에 의존하는 경우 얼마나 빨리 적용되는지에 영향을 줄 수 있습니다.
전반적으로, 시스템에 따라 관리되는 관리 아이덴티티는 간단한 시나리오에 편리하고 최소한의 특권 원칙을 준수하지만 복잡한 방화벽 구성 또는 네트워크 보안 설정에 대한 더 많은 제어가 필요한 시나리오에 이상적이지 않을 수 있습니다.
인용 :
[1] https://learn.microsoft.com/en-us/entra/managed-identities-azure-resources/managed-identity-best-practice-recommendations
[2] https://cloud.google.com/firewall/docs/firewalls
[3] https://www.reddit.com/r/azure/comments/xkzxrc/azure_managed_identity_vs_user_assigned_managed/
[4] https://www.cisco.com/c/en/us/td/docs/security/secure-firewall/management-center/device-config/760/management-center-device-config-76/Identity-overview.html
[5] https://learn.microsoft.com/en-us/entra/managed-identities-azure-resources/managed-identities-faq
[6] https://learn.microsoft.com/en-us/azure/api-management/api-management-howto-us-use-manged-service-identity
[7] https://docs.azure.cn/en-us/logic-apps/authenticate-with-managed-identity
[8] https://help.zerto.com/bundle/install.ma.html.90/page/enabling_user_assigned_managed_identities_and_set_mandatory_permissions_in_azure.htm
[9] https://katiekodes.com/entra-azure-system-assigned-managed-identity/