Megosztás a következőn keresztül:

Identitáskezelés az Azure Container Appsben – Célzónagyorsító

  • Cikk

Az alkalmazás biztonsága érdekében engedélyezheti a hitelesítést és az engedélyezést egy identitásszolgáltatón keresztül, például a Microsoft Entra ID-n vagy Microsoft Entra Külső ID (előzetes verzió) keresztül.

Fontolja meg a felügyelt identitás használatát szolgáltatásnév helyett a tárolóalkalmazás más erőforrásaihoz való csatlakozáshoz. A felügyelt identitás előnyösebb, mivel nem teszi szükségessé a hitelesítő adatok kezelését. Használhat rendszer által hozzárendelt vagy felhasználó által hozzárendelt felügyelt identitásokat. A rendszer által hozzárendelt felügyelt identitások előnye, hogy megosztják az életciklust azzal az Azure-erőforrással, amelyhez csatolva vannak, például egy tárolóalkalmazással. Ezzel szemben a felhasználó által hozzárendelt felügyelt identitás egy független Azure-erőforrás, amely több erőforráson is újra felhasználható, így hatékonyabb és központosítottabb identitáskezelést biztosít.

Javaslatok

  • Ha hitelesítésre van szükség, használja az Azure Entra ID-t vagy az Azure Entra ID B2C-t identitásszolgáltatóként.

  • Használjon külön alkalmazásregisztrációkat az alkalmazáskörnyezetekhez. Hozzon létre például egy másik regisztrációt a fejlesztéshez és a teszteléshez és az éles környezethez.

  • Használjon felhasználó által hozzárendelt felügyelt identitásokat, hacsak nincs erős követelmény a rendszer által hozzárendelt felügyelt identitások használatához. A célzónagyorsító implementációja a következő okokból használ felhasználó által hozzárendelt felügyelt identitásokat:

    • Újrafelhasználhatóság: Mivel az identitásokat a hozzárendelt Azure-erőforrásoktól elkülönítve hozhat létre és kezelhet, így több erőforráson is újra felhasználhatja ugyanazt a felügyelt identitást, így hatékonyabban és központosítottabban kezelheti az identitáskezelést.
    • Identitáséletciklus-kezelés: A felhasználó által hozzárendelt felügyelt identitásokat egymástól függetlenül hozhatja létre, törölheti és kezelheti, így egyszerűbbé teheti az identitással kapcsolatos feladatok kezelését anélkül, hogy hatással lenne az őket használó Azure-erőforrásokra.
    • Engedélyek megadása: Nagyobb rugalmassággal adhat engedélyeket a felhasználó által hozzárendelt felügyelt identitásokhoz. Ezeket az identitásokat szükség szerint hozzárendelheti adott erőforrásokhoz vagy szolgáltatásokhoz, így könnyebben szabályozható a különböző erőforrásokhoz és szolgáltatásokhoz való hozzáférés.

  • Az Azure beépített szerepköreivel a legkevesebb jogosultsági engedélyt rendelheti hozzá az erőforrásokhoz és a felhasználókhoz.

  • Győződjön meg arról, hogy az éles környezetekhez való hozzáférés korlátozott. Ideális esetben senki sem rendelkezik állandó hozzáféréssel az éles környezetekhez, ehelyett az automatizálásra támaszkodva kezeli az üzembe helyezéseket és a Privileged Identity Managementet a vészhelyzeti hozzáféréshez.

  • Éles környezetek és nem éles környezetek létrehozása külön Azure-előfizetésekben a biztonsági határok kijelöléséhez.