Delen via

Identiteitsbeheer in Azure Container Apps - Landing Zone Accelerator

  • Artikel

Als u uw toepassing wilt beveiligen, kunt u verificatie en autorisatie inschakelen via een id-provider, zoals Microsoft Entra-id of Microsoft Entra Externe ID (preview).

Overweeg het gebruik van een beheerde identiteit in plaats van een service-principal om verbinding te maken met andere resources in uw container-app. Beheerde identiteit heeft de voorkeur omdat deze de noodzaak voor het beheren van referenties onderhandelt. U kunt door het systeem toegewezen of door de gebruiker toegewezen beheerde identiteiten gebruiken. Door het systeem toegewezen beheerde identiteiten bieden het voordeel van het delen van een levenscyclus met de Azure-resource waaraan ze zijn gekoppeld, zoals een container-app. Een door de gebruiker toegewezen beheerde identiteit is daarentegen een onafhankelijke Azure-resource die kan worden hergebruikt voor meerdere resources, waardoor een efficiƫntere en gecentraliseerde benadering van identiteitsbeheer wordt bevorderd.

Aanbevelingen

  • Als verificatie is vereist, gebruikt u Azure Entra ID of Azure Entra ID B2C als id-provider.

  • Gebruik afzonderlijke app-registraties voor de toepassingsomgevingen. Maak bijvoorbeeld een andere registratie voor ontwikkeling versus test versus productie.

  • Gebruik door de gebruiker toegewezen beheerde identiteiten, tenzij er een sterke vereiste is voor het gebruik van door het systeem toegewezen beheerde identiteiten. De implementatie van Landing Zone Accelerator maakt gebruik van door de gebruiker toegewezen beheerde identiteiten om de volgende redenen:

    • Herbruikbaarheid: omdat u identiteiten afzonderlijk kunt maken en beheren van de Azure-resources waaraan ze zijn toegewezen, kunt u hiermee dezelfde beheerde identiteit hergebruiken voor meerdere resources, waardoor u een efficiĆ«ntere en gecentraliseerde benadering voor identiteitsbeheer kunt bevorderen.
    • Identiteitslevenscyclusbeheer: u kunt door de gebruiker toegewezen beheerde identiteiten onafhankelijk maken, verwijderen en beheren, zodat u eenvoudiger identiteitsgerelateerde taken kunt beheren zonder dat dit van invloed is op de Azure-resources.
    • Machtigingen verlenen: u hebt meer flexibiliteit bij het verlenen van machtigingen met door de gebruiker toegewezen beheerde identiteiten. U kunt deze identiteiten naar behoefte toewijzen aan specifieke resources of services, zodat u de toegang tot verschillende resources en services eenvoudiger kunt beheren.

  • Gebruik ingebouwde Azure-rollen om machtigingen voor minimale bevoegdheden toe te wijzen aan resources en gebruikers.

  • Zorg ervoor dat de toegang tot productieomgevingen beperkt is. In het ideale gevallen heeft niemand permanente toegang tot productieomgevingen, maar vertrouwt op automatisering voor het afhandelen van implementaties en Privileged Identity Management voor toegang tot noodgevallen.

  • Maak productieomgevingen en niet-productieomgevingen in afzonderlijke Azure-abonnementen om hun beveiligingsgrenzen af te bakenen.