Защита управляемых удостоверений в идентификаторе Microsoft Entra

  • Статья

В этой статье описано, как управлять секретами и учетными данными для защиты обмена данными между службами. Управляемые удостоверения предоставляют автоматическое управляемое удостоверение в идентификаторе Microsoft Entra. Приложения используют управляемые удостоверения для подключения к ресурсам, поддерживающим проверку подлинности Microsoft Entra, и для получения маркеров Microsoft Entra без управления учетными данными.

Преимущества управляемых удостоверений

Преимущества использования управляемых удостоверений:

  • С помощью управляемых удостоверений обеспечивается полная управляемость учетными данными, их поворачивание и защита в Azure. Удостоверения предоставляются и удаляются с помощью ресурсов Azure. Управляемые удостоверения позволяют ресурсам Azure взаимодействовать со службами, поддерживающими проверку подлинности Microsoft Entra.

  • Никто, включая глобальный Администратор istrator, не имеет доступа к учетным данным, которые не могут быть случайно утечки путем включения в код.

Использование управляемых удостоверений

Управляемые удостоверения лучше всего подходит для обмена данными между службами, поддерживающими проверку подлинности Microsoft Entra. Исходная система запрашивает доступ к целевой службе. Любой ресурс Azure может быть исходной системой. Например, виртуальная машина Azure, экземпляр функции Azure и экземпляры служб приложение Azure поддерживают управляемые удостоверения.

Дополнительные сведения см. в видео: что можно использовать для управляемого удостоверения?

Проверка подлинности и авторизация

С помощью управляемых удостоверений исходная система получает маркер из идентификатора Microsoft Entra ID без управления учетными данными владельца. Учетными данными управляет Azure. Маркеры, полученные исходной системой, представлены целевой системе для проверки подлинности.

Целевая система проходит проверку подлинности и авторизует исходную систему, чтобы разрешить доступ. Если целевая служба поддерживает проверку подлинности Microsoft Entra, она принимает маркер доступа, выданный идентификатором Microsoft Entra.

В Azure есть уровень управления и плоскость данных. Вы создаете ресурсы в плоскости управления и обращаетесь к ним в плоскости данных. Например, вы создаете базу данных Azure Cosmos DB в плоскости управления, но запрашиваете ее в плоскости данных.

После того как целевая система принимает маркер для проверки подлинности, он поддерживает механизмы авторизации для своего уровня управления и плоскости данных.

Операции уровня управления Azure управляются Azure Resource Manager и используют управление доступом на основе ролей Azure (Azure RBAC). В плоскости данных целевые системы имеют механизмы авторизации. Служба хранилища Azure поддерживает Azure RBAC в плоскости данных. Например, приложения, использующие Службы приложений Azure, могут считывать данные из хранилища Azure, а приложения, использующие Службу Kubernetes Azure, могут считывать секреты, хранящиеся в Azure Key Vault.

Подробнее:

Назначаемые системой и назначаемые пользователем управляемые удостоверения

Существует два типа управляемых удостоверений, назначаемых системой и пользователем.

Управляемое удостоверение, назначаемое системой:

  • Связь "один к одному" с ресурсом Azure
    • Например, существует уникальное управляемое удостоверение, связанное с каждой виртуальной машиной.
  • Привязан к жизненному циклу ресурсов Azure. Когда ресурс удаляется, управляемое удостоверение, связанное с ним, автоматически удаляется.
  • Это действие устраняет риск из потерянных учетных записей

Управляемое удостоверение, назначаемое пользователем

  • Жизненный цикл не зависит от ресурса Azure. Вы управляете жизненным циклом.
    • При удалении ресурса Azure назначаемое пользователем управляемое удостоверение не удаляется автоматически.
  • Назначение управляемого удостоверения, назначаемого пользователем, нулю или нескольким ресурсам Azure
  • Создайте удостоверение заранее, а затем назначьте его ресурсу позже

Поиск субъектов-служб управляемых удостоверений в идентификаторе Microsoft Entra

Чтобы найти управляемые удостоверения, можно использовать следующее:

  • Страница корпоративных приложений в портал Azure
  • Microsoft Graph

Портал Azure

  1. В портал Azure в области навигации слева выберите идентификатор Microsoft Entra.

  2. В области навигации слева выберите корпоративные приложения.

  3. В столбце типа приложения в разделе "Значение" щелкните стрелку вниз, чтобы выбрать управляемые удостоверения.

    Screenshot of the Managed Identies option under Values, in the Application type column.

Microsoft Graph

Используйте следующий запрос GET к Microsoft Graph, чтобы получить список управляемых удостоверений в клиенте.

https://graph.microsoft.com/v1.0/servicePrincipals?$filter=(servicePrincipalType eq 'ManagedIdentity')

Эти запросы можно отфильтровать. Дополнительные сведения см. в разделе GET servicePrincipal.

Оценка безопасности управляемых удостоверений

Чтобы оценить безопасность управляемых удостоверений, выполните приведенные действия.

  • Проверьте привилегии, чтобы убедиться, что выбрана наименее привилегированная модель

    • Чтобы получить разрешения, назначенные управляемым удостоверениям, используйте следующий командлет Microsoft Graph:

    Get-MgServicePrincipalAppRoleAssignment -ServicePrincipalId <String>

  • Убедитесь, что управляемое удостоверение не является частью привилегированной группы, например группы администраторов.

    • Чтобы перечислить члены групп с высоким уровнем привилегий с помощью Microsoft Graph:

    Get-MgGroupMember -GroupId <String> [-All <Boolean>] [-Top <Int32>] [<CommonParameters>]

Переход к управляемым удостоверениям

Если вы используете субъект-службу или учетную запись пользователя Microsoft Entra, оцените использование управляемых удостоверений. Вы можете устранить необходимость защиты, смены и управления учетными данными.

Следующие шаги

Учетные записи службы