Manajemen identitas di Azure Container Apps - Akselerator Zona Pendaratan
Untuk mengamankan aplikasi, Anda dapat mengaktifkan autentikasi dan otorisasi melalui IdP seperti ID Microsoft Entra atau ID Eksternal Microsoft Entra (pratinjau).
Pertimbangkan untuk menggunakan identitas terkelola alih-alih perwakilan layanan untuk terhubung ke sumber daya lain di aplikasi kontainer Anda. Identitas terkelola lebih disukai karena meniadakan kebutuhan untuk mengelola kredensial. Anda dapat menggunakan identitas terkelola yang ditetapkan sistem atau ditetapkan pengguna. Identitas terkelola yang ditetapkan sistem menawarkan keuntungan berbagi siklus hidup dengan sumber daya Azure tempat identitas tersebut dilampirkan, seperti Aplikasi Kontainer. Sebaliknya, identitas terkelola yang ditetapkan pengguna adalah sumber daya Azure independen yang dapat digunakan kembali di beberapa sumber daya, mempromosikan pendekatan yang lebih efisien dan terpusat untuk manajemen identitas.
Rekomendasi
Jika autentikasi diperlukan, gunakan ID Azure Entra atau Azure Entra ID B2C sebagai penyedia identitas.
Gunakan pendaftaran aplikasi terpisah untuk lingkungan aplikasi. Misalnya, buat pendaftaran yang berbeda untuk pengembangan vs. pengujian vs. produksi.
Gunakan identitas terkelola yang ditetapkan pengguna kecuali ada persyaratan yang kuat untuk menggunakan identitas terkelola yang ditetapkan sistem. Implementasi Landing Zone Accelerator menggunakan identitas terkelola yang ditetapkan pengguna karena alasan berikut:
- Penggunaan kembali: Karena Anda dapat membuat dan mengelola identitas secara terpisah dari sumber daya Azure tempat identitas ditetapkan, ini memungkinkan Anda menggunakan kembali identitas terkelola yang sama di beberapa sumber daya, mempromosikan pendekatan yang lebih efisien dan terpusat untuk manajemen identitas.
- Manajemen Siklus Hidup Identitas: Anda dapat membuat, menghapus, dan mengelola identitas terkelola yang ditetapkan pengguna secara independen, sehingga lebih mudah untuk mengelola tugas terkait identitas tanpa memengaruhi sumber daya Azure menggunakannya.
- Memberikan Izin: Anda memiliki fleksibilitas yang lebih besar dalam memberikan izin dengan identitas terkelola yang ditetapkan pengguna. Anda dapat menetapkan identitas ini ke sumber daya atau layanan tertentu sesuai kebutuhan, sehingga lebih mudah untuk mengontrol akses ke berbagai sumber daya dan layanan.
Gunakan peran bawaan Azure untuk menetapkan izin hak istimewa paling sedikit ke sumber daya dan pengguna.
Pastikan akses ke lingkungan produksi terbatas. Idealnya, tidak ada yang memiliki akses berdiri ke lingkungan produksi, sebagai gantinya mengandalkan otomatisasi untuk menangani penyebaran dan Privileged Identity Management untuk akses darurat.
Buat lingkungan produksi dan lingkungan non-produksi dalam langganan Azure terpisah untuk menguraikan batas keamanannya.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk