Sistēmai paredzētām pārvaldītām identitātēm Azure ir ierobežojumi, kad runa ir par ugunsmūra konfigurācijām, galvenokārt tāpēc, ka to raksturīgais raksturs un tas, kā viņi mijiedarbojas ar tīkla drošības iestatījumiem. Šeit ir daži galvenie punkti, kas jāņem vērā:
1. Tieša ugunsmūra kontroles trūkums: Sistēmas piešķirtās pārvaldītās identitātes automātiski izveido un pārvalda Azure Resources. Tie nenodrošina tiešu vadību pār ugunsmūra konfigurācijām. Tas nozīmē, ka, ja jums ir jāpiemēro konkrēti ugunsmūra noteikumi resursam, jums tas varētu šķist izaicinošāks ar sistēmas piešķirtajām identitātēm, salīdzinot ar lietotāju piešķirtajām, kuras var pārvaldīt elastīgāk.
2. Resursiem specifiskā identitāte: Sistēmai paredzēta pārvaldīta identitāte ir saistīta ar resursa dzīves ciklu, kuram viņi tiek piešķirti. Tas nozīmē, ka, ja jums ir jāpiemēro konsekventi ugunsmūra noteikumi vairākos resursos, sistēmas noteiktu identitāšu izmantošana var nebūt tik efektīva kā lietotāja piešķirtu identitāšu izmantošana, ko var koplietot starp resursiem.
3. Ierobežota elastība tīkla konfigurācijā: tā kā sistēmai paredzētās identitātes tiek automātiski pārvaldītas, tās nepiedāvā tādu pašu elastības līmeni tīkla iestatījumu konfigurēšanā, ieskaitot ugunsmūra noteikumus, kā to dara lietotāja piešķirtās identitātes. Tas var būt ierobežojums, ja jums jāievieš sarežģītas tīkla drošības konfigurācijas.
4. Atsvaidzināšanas un atjaunināšanas ierobežojumi: Pārvaldīto identitāšu, ieskaitot sistēmas projektētās atļaujas vai grupas dalība, var būt vajadzīgas vairākas stundas, lai izplatītos marķiera kešatmiņā. Šī kavēšanās var ietekmēt to, cik ātri ugunsmūra noteikumu izmaiņas stājas spēkā, ja tās paļaujas uz identitātes atļaujām.
Kopumā, kaut arī sistēmai paredzētās pārvaldītās identitātes ir ērtas vienkāršām scenārijiem un ievēro vismazāko privilēģiju principu, tās var nebūt ideāli piemērotas sarežģītām ugunsmūra konfigurācijām vai scenārijiem, kuriem nepieciešama lielāka kontrole pār tīkla drošības iestatījumiem.
Atsauces:
[1.]
[2] https://cloud.google.com/firewall/docs/firewalls
[3] https://www.reddit.com/r/azure/comments/xkzxrc/azure_managed_identity_vs_user_assigned_managed/
.
.
[6.]
[7] https://docs.azure.cn/en-us/logic-apps/authenticate-with-maged-identity
[8] https://help.zerto.com/bundle/install.ma.html.90/page/enabling_user_assigned_managed_identities_and_setting_mandatory_permissions_in_azure.htm
[9] https://katiekodes.com/entra-azure-system-assigned-managed-identity/