Заметка
Доступ к этой странице требует авторизации. Вы можете попробовать войти в систему или изменить каталог.
Доступ к этой странице требует авторизации. Вы можете попробовать сменить директорию.
Чтобы защитить приложение, можно включить проверку подлинности и авторизацию через поставщика удостоверений, например Идентификатор Microsoft Entra или Внешний идентификатор Microsoft Entra (предварительная версия).
Рекомендуется использовать управляемое удостоверение вместо учетной записи службы для подключения к другим ресурсам в вашем контейнерном приложении. Управляемое удостоверение предпочтительнее, так как оно отрицает необходимость управления учетными данными. Можно использовать управляемые удостоверения, назначаемые системой или пользователем. Управляемые удостоверения, назначаемые системой, предоставляют преимущество разделения жизненного цикла с ресурсом Azure, к которому они подключены, например приложением-контейнером. И наоборот, управляемое удостоверение, назначаемое пользователем, является независимым ресурсом Azure, который можно повторно использовать в нескольких ресурсах, повышая эффективность и централизованный подход к управлению удостоверениями.
Рекомендации
Если требуется проверка подлинности, используйте Microsoft Entra ID или Entra External ID в качестве поставщика удостоверений.
Используйте отдельные регистрации для сред приложения. Например, создайте отдельную регистрацию для разработки, тестирования или рабочей среды.
Используйте управляемые удостоверения, назначаемые пользователем, если не существует строгого требования к использованию управляемых удостоверений, назначаемых системой. Реализация "Акселератора посадочной площадки" использует управляемые идентификаторы, назначенные пользователем, по следующим причинам:
- Возможность повторного использования. Так как вы можете создавать удостоверения и управлять ими отдельно от ресурсов Azure, которым они назначены, это позволяет повторно использовать одно управляемое удостоверение в нескольких ресурсах, повышая эффективность и централизованный подход к управлению удостоверениями.
- Управление жизненным циклом идентификаторов: Вы можете создавать, удалять и управлять управляемыми идентификаторами, назначенными пользователем, автономно, упрощая управление задачами, связанными с идентификаторами, без влияния на ресурсы Azure, использующие их.
- Предоставление разрешений: у вас больше гибкости при использовании управляемых пользователем удостоверений для предоставления разрешений. Эти идентификаторы можно назначить конкретным ресурсам или службам по мере необходимости, что упрощает управление доступом к различным ресурсам и службам.
Используйте встроенные роли Azure для назначения минимальных разрешений пользователям и ресурсам.
Убедитесь, что доступ к рабочим средам ограничен. В идеале никто не имеет постоянного доступа к рабочим средам, вместо этого опираясь на автоматизацию для обработки развертываний и управления привилегированными удостоверениями для аварийного доступа.
Создайте рабочие среды и нерабородные среды в отдельных подписках Azure, чтобы определить границы безопасности.