Administración de identidades en Azure Container Apps: acelerador de zonas de aterrizaje
Para proteger la aplicación, puede habilitar la autenticación y la autorización a través de un proveedor de identidades, como Microsoft Entra ID o Id. externa de Microsoft Entra (versión preliminar).
Considere la posibilidad de usar una identidad administrada en lugar de una entidad de servicio para conectarse a otros recursos de la aplicación de contenedor. La identidad administrada es preferible, ya que niega la necesidad de administrar las credenciales. Puede usar identidades administradas asignadas por el sistema o asignadas por el usuario. Las identidades administradas asignadas por el sistema ofrecen la ventaja de compartir un ciclo de vida con el recurso de Azure al que están asociadas, como una aplicación de contenedor. Por el contrario, una identidad administrada asignada por el usuario es un recurso de Azure independiente que se puede reutilizar en varios recursos, lo que promueve un enfoque más eficaz y centralizado para la administración de identidades.
Recomendaciones
Si se requiere autenticación, utilice Azure Entra ID o Azure Entra ID B2C como proveedor de identidad.
Use registros de aplicaciones independientes para los entornos de aplicación. Por ejemplo, cree un registro diferente para desarrollo frente a prueba frente a producción.
Use identidades administradas asignadas por el usuario a menos que haya un requisito seguro para usar identidades administradas asignadas por el sistema. La implementación del acelerador de zonas de aterrizaje usa identidades administradas asignadas por el usuario por los siguientes motivos:
- Reutilización: dado que puede crear y administrar identidades por separado de los recursos de Azure a los que están asignadas, esto le permite reutilizar la misma identidad administrada en varios recursos, lo que promueve un enfoque más eficaz y centralizado de la administración de identidades.
- Administración del ciclo de vida de identidad: puede crear, eliminar y administrar identidades administradas asignadas por el usuario de forma independiente, lo que facilita la administración de tareas relacionadas con la identidad sin afectar a los recursos de Azure que las utilizan.
- Concesión de permisos: tiene mayor flexibilidad para conceder permisos con identidades administradas asignadas por el usuario. Puede asignar estas identidades a recursos o servicios específicos según sea necesario, lo que facilita el control del acceso a varios recursos y servicios.
Use roles integrados de Azure para asignar permisos con privilegios mínimos a los recursos y usuarios.
Asegúrese de que el acceso a entornos de producción está limitado. Lo ideal es que nadie tenga acceso permanente a entornos de producción, sino que se confíe en la automatización para controlar las implementaciones y en Privileged Identity Management para el acceso de emergencia.
Cree entornos de producción y entornos que no son de producción en suscripciones de Azure independientes para delimitar sus límites de seguridad.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de