Управление удостоверениями в приложениях контейнеров Azure — акселератор целевой зоны
Чтобы защитить приложение, можно включить проверку подлинности и авторизацию через поставщика удостоверений, например идентификатор Microsoft Entra или Внешняя идентификация Microsoft Entra (предварительная версия).
Рекомендуется использовать управляемое удостоверение вместо субъекта-службы для подключения к другим ресурсам в приложении контейнера. Управляемое удостоверение предпочтительнее, так как оно отрицает необходимость управления учетными данными. Управляемые удостоверения, назначаемые системой или назначаемые пользователем, можно использовать. Управляемые удостоверения, назначаемые системой, предоставляют преимущество совместного использования жизненного цикла с ресурсом Azure, к которому они подключены, например приложение-контейнер. И наоборот, управляемое удостоверение, назначаемое пользователем, является независимым ресурсом Azure, который можно повторно использовать в нескольких ресурсах, повышая эффективность и централизованный подход к управлению удостоверениями.
Рекомендации
Если требуется проверка подлинности, используйте идентификатор Azure Entra или идентификатор Azure Entra ID B2C в качестве поставщика удостоверений.
Используйте отдельные регистрации приложений для сред приложений. Например, создайте другую регистрацию для разработки и тестирования и рабочей среды.
Используйте управляемые удостоверения, назначаемые пользователем, если не существует строгого требования к использованию управляемых удостоверений, назначаемых системой. Реализация "Акселератор целевой зоны" использует управляемые удостоверения, назначенные пользователем, по следующим причинам:
- Возможность повторного использования. Так как вы можете создавать удостоверения и управлять ими отдельно от ресурсов Azure, которым они назначены, это позволяет повторно использовать одно управляемое удостоверение в нескольких ресурсах, повышая эффективность и централизованный подход к управлению удостоверениями.
- Управление жизненным циклом удостоверений. Вы можете создавать, удалять и управлять управляемыми удостоверениями, назначенными пользователем, независимо от управления задачами, связанными с удостоверениями, без влияния на ресурсы Azure с их помощью.
- Предоставление разрешений. У вас больше гибкости при предоставлении разрешений с управляемыми удостоверениями, назначаемыми пользователем. Эти удостоверения можно назначить определенным ресурсам или службам по мере необходимости, что упрощает управление доступом к различным ресурсам и службам.
Используйте встроенные роли Azure для назначения минимальных разрешений пользователям и ресурсам.
Убедитесь, что доступ к рабочим средам ограничен. В идеале никто не имеет постоянного доступа к рабочим средам, вместо этого опираясь на автоматизацию для обработки развертываний и управление привилегированными пользователями для аварийного доступа.
Создайте рабочие среды и нерабородные среды в отдельных подписках Azure, чтобы определить границы безопасности.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по