保護雲端式服務帳戶
Microsoft Entra 識別碼原生的服務帳戶有三種類型:受控識別、服務主體和使用者型服務帳戶。 服務帳戶是特殊類型的帳戶,旨在代表非人類實體,例如應用程式、API 或其他服務。 這些實體會在服務帳戶提供的安全性內容內運作。
Microsoft Entra 服務帳戶的類型
針對裝載在 Azure 中的服務,建議您盡可能使用受控識別,如果不是,則使用服務主體。 受控識別無法用於裝載于 Azure 外部的服務。 在此情況下,我們建議使用服務主體。 如果您可以使用受控識別或服務主體,請執行此動作。 我們建議您不要使用 Microsoft Entra 使用者帳戶作為服務帳戶。 如需摘要,請參閱下表。
| 服務裝載 | 受控識別 | 服務主體 | Azure 使用者帳戶 |
|---|---|---|---|
| 服務裝載于 Azure 中。 | 是。 如果服務是建議的 支援受控識別。 |
是。 | 不建議使用。 |
| 服務未裝載于 Azure 中。 | No | 是。 建議使用。 | 不建議使用。 |
| 服務是多租使用者 | No | 是。 建議使用。 | 否。 |
受控識別
受控識別是安全的 Microsoft Entra 身分識別,其建立是為了提供 Azure 資源的身分識別。 受控識別 有 兩種類型:
系統指派的受控識別可以直接指派給服務的實例。
使用者指派的受控識別可以建立為獨立資源。
如需詳細資訊,請參閱 保護受控識別 。 如需受控識別的一般資訊,請參閱 什麼是 Azure 資源的受控識別?
服務主體
如果您無法使用受控識別來代表您的應用程式,請使用服務主體。 服務主體可以與單一租使用者和多租使用者應用程式搭配使用。
服務主體是單一 Microsoft Entra 租使用者中應用程式物件的本機標記法。 它會做為應用程式實例的身分識別、定義誰可以存取應用程式,以及應用程式可以存取哪些資源。 服務主體會在使用應用程式的每個租使用者中建立,並參考全域唯一的應用程式物件。 租使用者可保護服務主體的登入和資源的存取權。
使用服務主體進行驗證的機制有兩種:用戶端憑證和用戶端密碼。 憑證更安全:盡可能使用用戶端憑證。 不同于用戶端密碼,用戶端憑證不小心內嵌在程式碼中。
如需保護服務主體的資訊,請參閱 保護服務主體 。
下一步
如需保護 Azure 服務帳戶的詳細資訊,請參閱: