Gerenciamento de identidades em aplicativos de contêiner do Azure - Landing Zone Accelerator
Para proteger seu aplicativo, você pode habilitar a autenticação e a autorização por meio de um provedor de identidade, como o Microsoft Entra ID ou o Microsoft Entra External ID (visualização).
Considere usar a identidade gerenciada em vez de uma entidade de serviço para se conectar a outros recursos em seu aplicativo de contêiner. A identidade gerenciada é preferível, pois elimina a necessidade de gerenciar credenciais. Você pode usar identidades gerenciadas atribuídas pelo sistema ou pelo usuário. As identidades gerenciadas atribuídas pelo sistema oferecem a vantagem de compartilhar um ciclo de vida com o recurso do Azure ao qual estão anexadas, como um Aplicativo de Contêiner. Por outro lado, uma identidade gerenciada atribuída pelo usuário é um recurso independente do Azure que pode ser reutilizado em vários recursos, promovendo uma abordagem mais eficiente e centralizada para o gerenciamento de identidades.
Recomendações
Se a autenticação for necessária, use a ID do Azure Entra ou a ID do Azure Entra B2C como um provedor de identidade.
Use registros de aplicativo separados para os ambientes de aplicativo. Por exemplo, crie um registro diferente para desenvolvimento vs. teste vs. produção.
Use identidades gerenciadas atribuídas pelo usuário, a menos que haja um forte requisito para usar identidades gerenciadas atribuídas pelo sistema. A implementação do Landing Zone Accelerator usa identidades gerenciadas atribuídas pelo usuário pelos seguintes motivos:
- Reutilização: Como você pode criar e gerenciar identidades separadamente dos recursos do Azure aos quais elas estão atribuídas, isso permite que você reutilize a mesma identidade gerenciada em vários recursos, promovendo uma abordagem mais eficiente e centralizada para o gerenciamento de identidades.
- Gerenciamento do Ciclo de Vida da Identidade: você pode criar, excluir e gerenciar identidades gerenciadas atribuídas pelo usuário de forma independente, facilitando o gerenciamento de tarefas relacionadas à identidade sem afetar os recursos do Azure que as utilizam.
- Concedendo permissões: você tem maior flexibilidade na concessão de permissões com identidades gerenciadas atribuídas pelo usuário. Você pode atribuir essas identidades a recursos ou serviços específicos, conforme necessário, facilitando o controle de acesso a vários recursos e serviços.
Use funções internas do Azure para atribuir permissões de privilégios mínimos a recursos e usuários.
Certifique-se de que o acesso aos ambientes de produção seja limitado. Idealmente, ninguém tem acesso permanente a ambientes de produção, em vez disso, depende da automação para lidar com implantações e do Gerenciamento de Identidades Privilegiadas para acesso de emergência.
Crie ambientes de produção e ambientes de não produção em assinaturas separadas do Azure para delinear seus limites de segurança.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de