Η χρήση των διαχειριζόμενων ταυτοτήτων που έχουν διαχειριστεί από το χρήστη για εφαρμογές με πολλαπλούς πόρους προσφέρει διάφορα πλεονεκτήματα:
1. Ευελιξία και έλεγχος: Οι διαχειριζόμενες ταυτότητες που έχουν διαχειριστεί από τους χρήστες δημιουργούνται ανεξάρτητα και μπορούν να αντιστοιχιστούν σε πολλαπλούς πόρους Azure σε διάφορες ομάδες πόρων ή συνδρομές. Αυτό επιτρέπει τον μεγαλύτερο έλεγχο του κύκλου ζωής ταυτότητας, καθώς δεν συνδέεται με τον κύκλο ζωής οποιουδήποτε συγκεκριμένου πόρου [2] [3] [5].
2. Αποδοτικότητα στη διαχείριση: Χρησιμοποιώντας μια μεμονωμένη ταυτότητα που έχει μεταβληθεί από τους χρήστες σε πολλαπλούς πόρους, μειώνεται τα διοικητικά γενικά έξοδα. Πρέπει να διαχειριστούν λιγότερες ξεχωριστές ταυτότητες και αναθέσεις ρόλων, γεγονός που απλοποιεί τη διαδικασία χορήγησης δικαιωμάτων και παρακολούθησης της πρόσβασης [3] [5].
3. Διαδικασίες συμμόρφωσης και έγκρισης: Σε σενάρια όπου η δημιουργία ταυτότητας απαιτεί έγκριση, η χρήση μιας ενιαίας ταυτότητας που έχει μεταβληθεί από τους χρήστες σε πολλαπλούς πόρους μειώνει τον αριθμό των εγκρίσεων που απαιτούνται σε σύγκριση με τη δημιουργία ταυτότητας που έχουν επιλεγεί από το σύστημα για κάθε πόρο [3].
4. Πρόσβαση πριν από την εγκατάσταση: Οι ταυτότητες που έχουν μεταβληθεί από τους χρήστες μπορούν να διαμορφωθούν πριν από τη δημιουργία πόρων, εξασφαλίζοντας ότι οι πόροι έχουν τα απαραίτητα δικαιώματα μόλις αναπτυχθούν. Αυτό είναι ιδιαίτερα χρήσιμο όταν οι πόροι απαιτούν πρόσβαση σε άλλες υπηρεσίες Azure κατά τη διάρκεια της διαδικασίας ανάπτυξης [3].
5. Κόστος-αποτελεσματικότητα: Όπως όλες οι διαχειριζόμενες ταυτότητες, οι ταυτότητες που έχουν εκχωρήσει από τους χρήστες δεν έχουν πρόσθετες χρεώσεις, καθιστώντας τους μια οικονομικά αποδοτική λύση για τη διαχείριση των διαπιστευτηρίων σε πολλαπλούς πόρους [1].
6. Βελτιώσεις ασφαλείας: Οι διαχειριζόμενες ταυτότητες που έχουν διαχειριστεί από το χρήστη εξαλείφουν την ανάγκη ενσωμάτωσης των διαπιστευτηρίων στο πλαίσιο του κώδικα εφαρμογής, μειώνοντας τον κίνδυνο διαρροών διαπιστευτηρίων και ενίσχυσης της συνολικής ασφάλειας [2] [5].
7. Ο έλεγχος πρόσβασης που βασίζεται σε ρόλους (RBAC): Οι ταυτότητες που έχουν ανατεθεί στο χρήστη υποστηρίζουν το RBAC, επιτρέποντας στους διαχειριστές να εκχωρούν συγκεκριμένα δικαιώματα στην ταυτότητα, διασφαλίζοντας ότι οι πόροι έχουν μόνο την απαραίτητη πρόσβαση για να εκτελέσουν τα καθήκοντά τους [2] [5].
Αναφορές:
[1] https://www.varonis.com/blog/azure-ganaged-identities
[2] https://www.linkedin.com/pulse/what-ganaged-identities-azure-resources-sardar-mudassar-ali-khan-
[3] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/managed-identity-best-practice-recommendations
[4] https://docs.azure.cn/en-us/entra/identity/managed-identities-azure-resources/managed-identities-faq
[5] https://www.techtarget.com/searchcloudcomputing/tip/managed-identity-vs-service-principal-for-azure-apps
[6] https://docs.azure.cn/en-us/azure-resource-manager/managed-applications/publish-managed-identity
[7] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/overview
[8] https://cloudtips.nl/the-magic-of-azure-managed-identities-%EF%B8%8F-19747C37E652