Condividi tramite


Considerazioni sulla gestione delle identità e degli accessi per l'acceleratore di zona di destinazione di Azure Integration Services

Questo articolo si basa sulle linee guida fornite nell'articolo Area di destinazione di Azure area di progettazione della zona di destinazione di Azure per la gestione delle identità e degli accessi. Le linee guida fornite nell'articolo seguente consentono di identificare le considerazioni di progettazione e le raccomandazioni correlate alla gestione delle identità e degli accessi specifiche della distribuzione di Azure Integration Services (AIS). Se l'intelligenza artificiale viene distribuita per supportare piattaforme cruciali, anche le linee guida sulle aree di progettazione della zona di destinazione di Azure devono essere incluse nella progettazione.

Panoramica della gestione delle identità e degli accessi (IAM)

Ai fini di questo articolo, Identity and Access Management (IAM) si riferisce alle opzioni di autenticazione e autorizzazione disponibili per la distribuzione o la gestione delle risorse in Azure. In pratica, ciò implica l'identificazione delle identità che dispongono dell'autorizzazione per creare, aggiornare, eliminare e gestire le risorse tramite il portale di Azure o tramite l'API di Resource Manager.

IAM è una considerazione separata dalla sicurezza degli endpoint, che definisce quali identità possono chiamare e accedere ai servizi. La sicurezza degli endpoint è descritta nell'articolo sulla sicurezza separato di questa serie. Detto questo, a volte le due aree di progettazione si sovrappongono: per alcuni servizi in Azure, l'accesso all'endpoint viene configurato tramite gli stessi controlli controllo degli accessi in base al ruolo usati per gestire l'accesso alle risorse.

Considerazioni relative alla progettazione

  • Determinare i limiti di amministrazione delle risorse di Azure per le risorse distribuite, considerando la separazione dei compiti e l'efficienza operativa.

  • Esaminare le attività di amministrazione e gestione di Azure necessarie per eseguire i team. Prendere in considerazione le risorse aiS che verranno distribuite e come usarle. Determinare la migliore distribuzione possibile delle responsabilità all'interno dell'organizzazione.

Suggerimenti per la progettazione

  • Usare le identità gestite per le risorse di Integration Services. Per una descrizione dettagliata di questa raccomandazione, vedere l'articolo Sicurezza in questa serie.

  • Usare Microsoft Entra ID per l'autenticazione per le risorse dei servizi di integrazione.

  • Prendere in considerazione il livello di accesso necessario per i ruoli all'interno dell'organizzazione e applicare il principio dei privilegi minimi per ruolo. Questi ruoli possono includere proprietari della piattaforma, proprietari del carico di lavoro, tecnici devops e amministratori di sistema, ad esempio.

  • Usando il principio dei privilegi minimi, considerare quali ruoli è necessario gestire e gestire le applicazioni AIS. Domande da porre a questo riguardo:

    • Chi dovrà visualizzare i file di log da origini come Application Insights, Log Analytics e account Archiviazione?

    • Qualcuno deve visualizzare i dati delle richieste originali (inclusi i dati sensibili)?

    • Dove è possibile visualizzare i dati delle richieste originali (ad esempio, solo dalla rete aziendale)?

    • Chi può visualizzare la cronologia di esecuzione per un flusso di lavoro?

    • Chi può inviare di nuovo un'esecuzione non riuscita?

    • Chi deve accedere alle chiavi di sottoscrizione Gestione API?

    • Chi può visualizzare il contenuto di un argomento o una sottoscrizione di bus di servizio oppure visualizzare le metriche della coda o dell'argomento?

    • Chi deve essere in grado di amministrare Key Vault?

    • Chi deve essere in grado di aggiungere, modificare o eliminare chiavi, segreti e certificati in Key Vault?

    • Chi deve essere in grado di visualizzare e leggere chiavi, segreti o certificati in Key Vault?

    • I ruoli e i gruppi predefiniti esistenti di Microsoft Entra coprono i requisiti identificati?

  • Creare ruoli personalizzati per limitare l'accesso o per garantire una maggiore granularità rispetto alle autorizzazioni quando i ruoli predefiniti non bloccano sufficientemente l'accesso. Ad esempio, l'accesso all'URL di callback per un'app per la logica richiede una singola autorizzazione, ma non esiste un ruolo predefinito per tale tipo di accesso diverso da "Collaboratore" o "Proprietario", che sono troppo ampi.

  • Esaminare l'uso di Criteri di Azure per limitare l'accesso a determinate risorse o per applicare la conformità ai criteri aziendali. Ad esempio, è possibile creare criteri che consentano solo la distribuzione di API Gestione API che usano protocolli crittografati.

  • Esaminare le attività comuni coinvolte nell'amministrazione e nella gestione di AIS in Azure e assegnare le autorizzazioni di controllo degli accessi in base al ruolo in modo appropriato. Per altri dettagli sulle autorizzazioni disponibili, vedere Operazioni del provider di risorse.

Alcuni esempi di attività comuni di amministrazione di Azure includono:

Azure Resource Provider di risorse di Azure Attività
Piano di servizio app Microsoft.Web/serverfarms Lettura, aggiunta, riavvio, recupero delle Connessione di rete virtuale
Connessione API Microsoft.Web/connections Aggiornare, confermare
App per la logica e funzioni Microsoft.Web/sites Read, Start, Stop, Restart, Swap, Update Config, Read Diagnostics, Get VNet Connessione ions
Account di integrazione Microsoft.Logic/integrationAccounts Proprietà di lettura/aggiunta/aggiornamento/eliminazione di assembly, lettura/aggiunta/aggiornamento/eliminazione Mappe, lettura/aggiunta/aggiornamento/eliminazione di schemi, lettura/aggiunta/aggiornamento/eliminazione di contratti, lettura/aggiunta/aggiornamento/eliminazione partner
Bus di servizio Microsoft.ServiceBus Lettura, Ottenere Connessione ion String, Aggiornare la configurazione del ripristino di emergenza, Leggere code, Leggere argomenti, Leggere sottoscrizioni
Account di archiviazione Microsoft.Storage/storageAccounts Lettura, modifica (ad esempio cronologia di esecuzione del flusso di lavoro)
Gestione API Microsoft.ApiManagement Registrare/eliminare un utente, le API di lettura, gestire le autorizzazioni, gestire la cache
Insieme di credenziali delle chiavi Microsoft.KeyVault/vaults Creare un insieme di credenziali, modificare i criteri di accesso

Passaggio successivo

Esaminare le aree di progettazione critiche per prendere in considerazione e consigli completi per l'architettura.