Las identidades administradas asignadas por el sistema en Azure tienen limitaciones cuando se trata de configuraciones de firewall, principalmente debido a su naturaleza inherente y cómo interactúan con la configuración de seguridad de la red. Aquí hay algunos puntos clave a considerar:
1. Falta de control directo de firewall: las identidades administradas asignadas por el sistema son creadas y administradas automáticamente por Azure Resources. No proporcionan control directo sobre las configuraciones de firewall. Esto significa que si necesita aplicar reglas específicas de firewall a un recurso, puede encontrarlo más desafiante con las identidades asignadas al sistema en comparación con las asignadas por el usuario, que se pueden administrar de manera más flexible.
2. Identidad específica de recursos: las identidades administradas asignadas por el sistema están vinculadas al ciclo de vida del recurso al que están asignados. Esto significa que si necesita aplicar reglas de firewall consistentes en múltiples recursos, el uso de identidades asignadas al sistema podría no ser tan eficiente como el uso de identidades asignadas por el usuario, que se pueden compartir entre los recursos.
3. Flexibilidad limitada en la configuración de la red: dado que las identidades asignadas al sistema se administran automáticamente, no ofrecen el mismo nivel de flexibilidad en la configuración de la configuración de la red, incluidas las reglas de firewall, como lo hacen las identidades asignadas por el usuario. Esto puede ser una limitación si necesita implementar configuraciones de seguridad de red complejas.
4. Actualizar y actualizar las limitaciones: los cambios en los permisos o las membresías del grupo para identidades administradas, incluidas las asignadas por el sistema, pueden tardar varias horas en propagarse debido al almacenamiento en caché de tokens. Este retraso puede afectar la rapidez con que los cambios en la regla del firewall entran en vigencia si confían en los permisos de identidad.
En general, si bien las identidades administradas asignadas al sistema son convenientes para escenarios simples y se adhieren al principio de menor privilegio, pueden no ser ideales para configuraciones o escenarios complejos de firewall que requieren más control sobre la configuración de seguridad de la red.
Citas:
[1] https://learn.microsoft.com/en-us/entra/ididentity/managed-identity-azure-resources/managed-identity-best-practice-retmendations
[2] https://cloud.google.com/firewall/docs/firewalls
[3] https://www.reddit.com/r/azure/comments/xkzxrc/azure_managed_identity_vs_user_assigned_managed/
[4] https://www.cisco.com/c/en/us/td/docs/security/secure-firewall/management-center/device-config/760/management-center-device-config-76/ididentity-overview.html
[5] https://learn.microsoft.com/en-us/entra/identity/managed-identity-azure-resources/managed-identity-faq
[6] https://learn.microsoft.com/en-us/azure/api-management/api-management-howto-use-service-identity
[7] https://docs.azure.cn/en-us/logic-apps/authenticate-with-didentity
[8] https://help.zerto.com/bundle/install.ma.html.90/page/enabling_user_assigned_managed_identies_and_setting_mandatory_permissions_in_azure.htm
[9] https://katiekodes.com/entra-azure-system-assigned-didentity/