在防火墙配置方面,Azure中系统分配的托管身份具有局限性,这主要是由于它们的固有性质以及它们与网络安全设置的交互方式。这里有一些要考虑的要点:
1。缺乏直接防火墙控制:由Azure Resources自动创建和管理系统分配的托管身份。他们不提供对防火墙配置的直接控制。这意味着,如果您需要将特定的防火墙规则应用于资源,则与用户分配的身份相比,您可能会发现它更具挑战性,可以更灵活地对其进行管理。
2。特定于资源的身份:系统分配的托管身份与分配给资源的生命周期相关。这意味着,如果您需要在多个资源上应用一致的防火墙规则,则使用系统分配的身份可能不像使用用户分配的身份那样有效,这些身份可以在资源上共享。
3。网络配置中的灵活性有限:由于系统分配的身份自动管理,因此在配置网络设置(包括防火墙规则)时,它们没有像用户分配的身份一样的灵活性。如果您需要实现复杂的网络安全配置,这可能是一个限制。
4.刷新和更新限制:对托管身份(包括系统分配的身份)的权限或组成员资格的更改可能需要几个小时才能繁殖,因此由于令牌缓存而言。如果防火墙规则依赖身份权限,这种延迟可能会影响更快的变化生效。
总体而言,尽管系统分配的托管身份对于简单的方案很方便,并且遵守至少特权的原则,但它们可能不是需要对网络安全设置进行更多控制的复杂防火墙配置或方案的理想选择。
引用:
[1] https://learn.microsoft.com/en-us/entra/indentity/managed-indiestities-indentities-indiesities-indiesities-iendity-resources/managed-indentity-best-practice-ractice-ractice-racmendations
[2] https://cloud.google.com/firewall/docs/firewalls
[3] https://www.reddit.com/r/azure/comments/xkzxrc/azure_managed_identity_identity_ves_user_assigned_managed/
[4] https://www.cisco.com/c/en/us/td/docs/security/secure-firewall/management-center/device-config/760/management-center-center-center-center-center-center-device-config-76/indentity-eindity-overview.html
[5] https://learn.microsoft.com/en-us/entra/indentity/managed-indiestities-indentities-indistities-ientities-ientities-ientities-iendites-managed-indentities-faq
[6] https://learn.microsoft.com/en-us/azure/api-management/api-management-howto-use-managed-service-indistity
[7] https://docs.azure.cn/en-us/logic-apps/authenticate-with-managed-indentity
[8] https://help.zerto.com/bundle/install.ma.html.90/page/enabling/enabling_user_assigned_managed_endaged_istentities_endities_and_setting_mandating_mandatory_permissions_permissions_in_azure.htm
[9] https://katiekodes.com/entra-azure-system-symigned-managed-indistity/