ใช่คุณสามารถใช้ข้อมูลประจำตัวที่มีการจัดการกับ Azure Key Vault ข้อมูลประจำตัวที่ได้รับการจัดการอนุญาตให้บริการ Azure สามารถตรวจสอบความถูกต้องของบริการ Azure อื่น ๆ โดยไม่จำเป็นต้องจัดการข้อมูลรับรอง สิ่งนี้มีประโยชน์อย่างยิ่งสำหรับการเข้าถึง Azure Key Vault เนื่องจากไม่จำเป็นต้องจัดเก็บข้อมูลรับรองสำหรับการเข้าถึงความลับ
นี่คือวิธีการทำงาน:
1. เปิดใช้งานตัวตนที่มีการจัดการ: คุณสามารถเปิดใช้งานตัวตนที่มีการจัดการสำหรับบริการ Azure เช่นแอพลอจิก, บริการแอพหรือประตูหน้า Azure สิ่งนี้สร้างบริการหลักใน Azure Active Directory (AAD) ที่แสดงถึงบริการ
2. กำหนดสิทธิ์: คุณกำหนดบทบาทที่จำเป็นให้กับบริการหลักนี้ใน Azure Key Vault ตัวอย่างเช่นคุณอาจกำหนดบทบาท "Key Vault Secrets User" เพื่อให้บริการอ่านความลับจาก Key Vault
3. การเข้าถึงคีย์ Vault: เมื่อตั้งค่าสิทธิ์การใช้งานบริการสามารถใช้ข้อมูลประจำตัวที่ได้รับการจัดการเพื่อตรวจสอบความถูกต้องด้วยความลับของ Vault และการเข้าถึงโดยไม่จำเป็นต้องจัดเก็บข้อมูลรับรองใด ๆ
การใช้ข้อมูลประจำตัวที่มีการจัดการกับ Key Vault ให้ประโยชน์หลายประการรวมถึงความปลอดภัยที่เพิ่มขึ้นและค่าใช้จ่ายในการจัดการข้อมูลรับรองที่ลดลง ขอแนะนำให้ใช้ข้อมูลประจำตัวที่มีการจัดการทุกครั้งที่เป็นไปได้สำหรับการตรวจสอบความถูกต้องของบริการ Azure-to-Azure [1] [2] [3]
การอ้างอิง:
[1] https://www.serverlessnotes.com/docs/using-managed-system-identities-to-access-azure-kault-vault
[2] https://stackoverflow.com/questions/54330512/azure-key-vault-or-managed-identity-for-service-to-azure-service
[3] https://learn.microsoft.com/en-us/azure/frontdoor/managed-identity
[4] https://www.cloudpartner.fi/?p=9239
[5] https://www.youtube.com/watch?v=OEYX4VUS1VW
[6] https://docs.azure.cn/en-us/api-Management/api-Management-howto-use-Managed-service-identity
[7] https://stackoverflow.com/questions/69654528/azure-identity-and-key-vault-how-to-use-manage-enidentities-to-authenticate
[8] https://www.codemag.com/article/2107041/elimite-secrets-from-your-applications-with-azure-managed-identity
[9] https://learn.microsoft.com/en-us/azure/key-vault/general/authentication