Sdílet prostřednictvím

Správa identit v Azure Container Apps – Akcelerátor cílových zón

  • Článek

K zabezpečení aplikace můžete povolit ověřování a autorizaci prostřednictvím zprostředkovatele identity, jako je ID Microsoft Entra nebo Microsoft Entra Externí ID (Preview).

Zvažte použití spravované identity místo instančního objektu pro připojení k jiným prostředkům v aplikaci kontejneru. Spravovaná identita je vhodnější, protože neguje potřebu správy přihlašovacích údajů. Můžete použít spravované identity přiřazené systémem nebo přiřazené uživatelem. Spravované identity přiřazené systémem nabízejí výhodu sdílení životního cyklu s prostředkem Azure, ke kterému jsou připojené, jako je kontejnerová aplikace. Spravovaná identita přiřazená uživatelem je naopak nezávislý prostředek Azure, který je možné opakovaně používat napříč více prostředky, čímž se podporuje efektivnější a centralizovaný přístup ke správě identit.

Doporučení

  • Pokud se vyžaduje ověřování, jako zprostředkovatele identity použijte Azure Entra ID nebo Azure Entra ID B2C .

  • Pro aplikační prostředí používejte samostatné registrace aplikací. Vytvořte například jinou registraci pro vývoj a testování vs. produkční prostředí.

  • Používejte spravované identity přiřazené uživatelem, pokud neexistuje silný požadavek na používání spravovaných identit přiřazených systémem. Implementace akcelerátoru cílových zón používá spravované identity přiřazené uživatelem z následujících důvodů:

    • Použitelnost: Vzhledem k tomu, že můžete vytvářet a spravovat identity odděleně od prostředků Azure, ke kterým jsou přiřazené, můžete znovu použít stejnou spravovanou identitu napříč několika prostředky, což umožňuje efektivnější a centralizovaný přístup ke správě identit.
    • Správa životního cyklu identit: Můžete nezávisle vytvářet, odstraňovat a spravovat spravované identity přiřazené uživatelem, což usnadňuje správu úloh souvisejících s identitami bez dopadu na prostředky Azure, které je používají.
    • Udělení oprávnění: Máte větší flexibilitu při udělování oprávnění pomocí spravovaných identit přiřazených uživatelem. Tyto identity můžete přiřadit konkrétním prostředkům nebo službám podle potřeby, což usnadňuje řízení přístupu k různým prostředkům a službám.

  • Pomocí předdefinovaných rolí Azure přiřaďte prostředkům a uživatelům nejnižší oprávnění.

  • Ujistěte se, že je přístup k produkčním prostředím omezený. V ideálním případě nikdo nemá stálý přístup k produkčním prostředím, místo toho se spoléhá na automatizaci pro zpracování nasazení a Privileged Identity Management pro nouzový přístup.

  • Vytváření produkčních prostředí a neprodukčních prostředí v samostatných předplatných Azure pro vymezení jejich hranic zabezpečení