Überlegungen zu Identitäts- und Zugriffsverwaltung im Zielzonenbeschleuniger für Azure-Integrationsdienste
Dieser Artikel baut auf dem Leitfaden im Artikel Entwurfsbereich der Azure-Zielzone für Identitäts- und Zugriffsverwaltung auf. Der Leitfaden im folgenden Artikel hilft Ihnen dabei, Entwurfsüberlegungen und Empfehlungen zu identifizieren, die sich auf die Identitäts- und Zugriffsverwaltung speziell für die Bereitstellung von Azure-Integrationsdienste (AIS) beziehen. Wenn AIS zur Unterstützung einer unternehmenskritische Plattform bereitgestellt wird, sollten die Anleitungen zu den Entwurfsbereichen für Azure-Zielzonen auch in Ihren Entwurf einbezogen werden.
Übersicht über Identitäts- und Zugriffsverwaltung (IAM)
Für die Zwecke dieses Artikels bezieht sich der Begriff „Identitäts- und Zugriffsverwaltung“ (IAM) auf die Authentifizierungs- und Autorisierungsoptionen, die zum Bereitstellen oder Verwalten von Ressourcen in Azure verfügbar sind. In der Praxis bedeutet dies, dass ermittelt werden muss, welche Identitäten über die Berechtigung zum Erstellen, Aktualisieren, Löschen und Verwalten von Ressourcen entweder über das Azure-Portal oder über die Ressourcenmanager-API verfügen.
IAM ist ein von der Endpunktsicherheit getrennter Aspekt, der definiert, welche Identitäten Ihre Dienste aufrufen und darauf zugreifen können. Endpunktsicherheit wird im separaten Artikel Sicherheit in dieser Reihe behandelt. Allerdings überschneiden sich manchmal die beiden Entwurfsbereiche: Für einige Dienste in Azure wird der Zugriff auf den Endpunkt über die gleichen RBAC-Steuerelemente konfiguriert, die zum Verwalten des Zugriffs auf die Ressourcen verwendet werden.
Überlegungen zum Entwurf
Bestimmen Sie die Grenzen der Azure-Ressourcenverwaltung für die von Ihnen bereitgestellten Ressourcen unter Berücksichtigung der Aufgabentrennung und der betrieblichen Effizienz.
Sehen Sie sich an, welche Aktivitäten für die Azure-Verwaltung und die allgemeine Verwaltung von Ihren Teams durchgeführt werden müssen. Betrachten Sie die AIS-Ressourcen, die Sie bereitstellen, und wie Sie sie verwenden. Ermitteln Sie die bestmögliche Verteilung der Zuständigkeiten innerhalb Ihres Unternehmens.
Entwurfsempfehlungen
Verwenden Sie verwaltete Identitäten für Integrationsdienstressourcen. Eine ausführliche Beschreibung dieser Empfehlung finden Sie im Artikel Sicherheit in dieser Reihe.
Verwenden Sie Microsoft Entra ID für die Authentifizierung bei Integrationsdiensteressourcen.
Berücksichtigen Sie die Zugriffsebene, die von Rollen innerhalb Ihrer Organisation benötigt wird, und wenden Sie das Prinzip der geringsten Berechtigungen für die einzelnen Rollen an. Zu diesen Rollen können beispielsweise Plattformbesitzer, Workloadbesitzer, DevOps-Techniker und Systemadministratoren gehören.
Überlegen Sie unter Berücksichtigung des Prinzips der geringsten Berechtigungen, welche Rollen Sie zum Verwalten und Pflegen Ihrer AIS-Anwendungen benötigen. Diesbezüglich zu stellende Fragen:
Wer muss Protokolldateien aus Quellen wie Application Insights, Log Analytics und Speicherkonten anzeigen?
Muss jemand die ursprünglichen Anforderungsdaten (einschließlich vertraulicher Daten) anzeigen?
Wo können ursprüngliche Anforderungsdaten angezeigt werden (z. B. nur in Ihrem Unternehmensnetzwerk)?
Wer kann den Ausführungsverlauf für einen Workflow anzeigen?
Wer kann eine fehlgeschlagene Ausführung erneut übermitteln?
Wer benötigt Zugriff auf API Management-Abonnementschlüssel?
Wer kann Inhalte eines Service Bus-Themas oder -Abonnements anzeigen oder Warteschlangen-/Themenmetriken anzeigen?
Wer muss in der Lage sein, Key Vault zu verwalten?
Wer muss Schlüssel, Geheimnisse und Zertifikate in Key Vault hinzufügen, bearbeiten oder löschen können?
Wer muss in der Lage sein, Schlüssel, Geheimnisse oder Zertifikate in Key Vault anzuzeigen und zu lesen?
Decken die vorhandenen integrierten Microsoft Entra-Rollen und -Gruppen die von Ihnen ermittelten Anforderungen ab?
Erstellen Sie benutzerdefinierte Rollen, um entweder den Zugriff einzuschränken oder um mehr Granularität für Berechtigungen bereitzustellen, wenn integrierte Rollen den Zugriff nicht ausreichend begrenzen. Beispielsweise erfordert der Zugriff auf die Rückruf-URL für eine Logik-App eine einzelne Berechtigung, es gibt jedoch keine integrierte Rolle für diese Art von Zugriff außer „Mitwirkender“ oder „Besitzer“, die zu weit gefasst sind.
Ziehen Sie die Verwendung von Azure Policy in Betracht, um den Zugriff auf bestimmte Ressourcen einzuschränken oder die Einhaltung der Unternehmensrichtlinie zu erzwingen. Sie können beispielsweise eine Richtlinie erstellen, die nur die Bereitstellung von API Management APIs, die verschlüsselte Protokolle verwenden, zulässt.
Überprüfen Sie allgemeine Aktivitäten, die an der Verwaltung und Pflege von AIS in Azure beteiligt sind, und weisen Sie RBAC-Berechtigungen entsprechend zu. Weitere Informationen zu den verfügbaren Berechtigungen finden Sie unter Ressourcenanbietervorgänge.
Einige Beispiele für allgemeine Azure-Verwaltungsaktivitäten sind:
| Azure-Ressource | Azure-Ressourcenanbieter | Aktivitäten |
|---|---|---|
| App Service-Plan | Microsoft.Web/serverfarms | Lesen, Beitreten, Neustarten, VNET-Verbindungen abrufen |
| APIConnection | Microsoft.Web/connections | Aktualisieren, Bestätigen |
| Logic Apps und Functions | Microsoft.Web/sites | Lesen, Starten, Beenden, Neustarten, Tauschen, Konfiguration aktualisieren, Diagnose lesen, VNET-Verbindungen abrufen |
| Integrationskonto | Microsoft.Logic/integrationAccounts | Assemblys lesen/hinzufügen/aktualisieren/löschen, Zuordnungen lesen/hinzufügen/aktualisieren/löschen, Schemas lesen/hinzufügen/aktualisieren/löschen, Vereinbarungen lesen/hinzufügen/aktualisieren/löschen, Partner lesen/hinzufügen/aktualisieren/löschen |
| Service Bus | Microsoft.ServiceBus | Lesen, Verbindungszeichenfolge abrufen, DR-Konfiguration aktualisieren, Warteschlangen lesen, Themen lesen, Abonnements lesen |
| Speicherkonto | Microsoft.Storage/storageAccounts | Lesen, Ändern (z. B. Workflowausführungsverlauf) |
| API Management | Microsoft.ApiManagement | Benutzer registrieren/löschen, APIs lesen, Autorisierungen verwalten, Cache verwalten |
| KeyVault | Microsoft.KeyVault/vaults | Tresor erstellen, Zugriffsrichtlinien bearbeiten |
Nächster Schritt
Überprüfen Sie die kritischen Designbereiche, um umfassende Überlegungen hinsichtlich Ihrer Architektur anzustellen und Empfehlungen zu geben.