Bulut tabanlı hizmet hesaplarının güvenliğini sağlama
Microsoft Entra Id için yerel üç tür hizmet hesabı vardır: Yönetilen kimlikler, hizmet sorumluları ve kullanıcı tabanlı hizmet hesapları. Hizmet hesapları, uygulama, API veya başka bir hizmet gibi insan olmayan bir varlığı temsil etmeye yönelik özel bir hesap türüdür. Bu varlıklar hizmet hesabı tarafından sağlanan güvenlik bağlamı içinde çalışır.
Microsoft Entra hizmet hesabı türleri
Azure'da barındırılan hizmetler için mümkünse yönetilen kimlik ve değilse hizmet sorumlusu kullanmanızı öneririz. Yönetilen kimlikler, Azure dışında barındırılan hizmetler için kullanılamaz. Bu durumda, bir hizmet sorumlusu öneririz. Yönetilen kimlik veya hizmet sorumlusu kullanabiliyorsanız, bunu yapın. Microsoft Entra kullanıcı hesabını hizmet hesabı olarak kullanmamanızı öneririz. Özet için aşağıdaki tabloya bakın.
Hizmet barındırma | Yönetilen kimlik | Hizmet sorumlusu | Azure kullanıcı hesabı |
---|---|---|---|
Hizmet Azure'da barındırılır. | Evet. Hizmet Yönetilen Kimliği destekler. |
Evet. | Önerilmez. |
Hizmet Azure'da barındırılmaz. | No | Evet. Önerilen. | Önerilmez. |
Hizmet çok kiracılı | No | Evet. Önerilen. | Hayır. |
Yönetilen kimlikler
Yönetilen kimlikler, Azure kaynakları için kimlik sağlamak üzere oluşturulan güvenli Microsoft Entra kimlikleridir. İki tür yönetilen kimlik vardır:
Sistem tarafından atanan yönetilen kimlikler doğrudan bir hizmet örneğine atanabilir.
Kullanıcı tarafından atanan yönetilen kimlikler tek başına bir kaynak olarak oluşturulabilir.
Daha fazla bilgi için bkz . Yönetilen kimliklerin güvenliğini sağlama. Yönetilen kimlikler hakkında genel bilgi için bkz. Azure kaynakları için yönetilen kimlikler nelerdir?
Hizmet sorumluları
Uygulamanızı temsil etmek için yönetilen kimlik kullanamıyorsanız hizmet sorumlusu kullanın. Hizmet sorumluları hem tek kiracılı hem de çok kiracılı uygulamalarla kullanılabilir.
Hizmet sorumlusu, tek bir Microsoft Entra kiracısında bir uygulama nesnesinin yerel gösterimidir. Uygulama örneğinin kimliği olarak çalışır, uygulamaya kimlerin erişebileceğini ve uygulamanın hangi kaynaklara erişebileceğini tanımlar. Uygulamanın kullanıldığı her kiracıda (yerelden) bir hizmet sorumlusu oluşturulur ve genel olarak benzersiz uygulama nesnesine başvurur. Kiracı, hizmet sorumlusunun oturum açma ve kaynaklara erişiminin güvenliğini sağlar.
Hizmet sorumlularını kullanarak kimlik doğrulaması için iki mekanizma vardır: istemci sertifikaları ve istemci gizli dizileri. Sertifikalar daha güvenlidir: mümkünse istemci sertifikalarını kullanın. İstemci gizli dizilerinden farklı olarak, istemci sertifikaları yanlışlıkla koda eklenemez.
Hizmet sorumlularının güvenliğini sağlama hakkında bilgi için bkz . Hizmet sorumlularının güvenliğini sağlama.
Sonraki adımlar
Azure hizmet hesaplarının güvenliğini sağlama hakkında daha fazla bilgi için bkz:
Yönetilen kimliklerin güvenliğini sağlama