Udostępnij za pośrednictwem

Zarządzanie tożsamościami w usłudze Azure Container Apps — akcelerator strefy docelowej

  • Artykuł

Aby zabezpieczyć aplikację, możesz włączyć uwierzytelnianie i autoryzację za pośrednictwem dostawcy tożsamości, takiego jak Microsoft Entra ID lub Tożsamość zewnętrzna Microsoft Entra (wersja zapoznawcza).

Rozważ użycie tożsamości zarządzanej zamiast jednostki usługi w celu nawiązania połączenia z innymi zasobami w aplikacji kontenera. Tożsamość zarządzana jest preferowana, ponieważ neguje potrzebę zarządzania poświadczeniami. Można użyć tożsamości zarządzanych przypisanych przez system lub przypisanych przez użytkownika. Tożsamości zarządzane przypisane przez system oferują zaletę udostępniania cyklu życia zasobowi platformy Azure, do którego są dołączone, na przykład aplikacji kontenera. Z drugiej strony tożsamość zarządzana przypisana przez użytkownika to niezależny zasób platformy Azure, który może być ponownie używany w wielu zasobach, promując bardziej wydajne i scentralizowane podejście do zarządzania tożsamościami.

Zalecenia

  • Jeśli wymagane jest uwierzytelnianie, użyj identyfikatora entra platformy Azure lub identyfikatora entra platformy Azure B2C jako dostawcy tożsamości.

  • Użyj oddzielnych rejestracji aplikacji dla środowisk aplikacji. Na przykład utwórz inną rejestrację na potrzeby programowania i testowania a produkcji.

  • Użyj tożsamości zarządzanych przypisanych przez użytkownika, chyba że istnieje silne wymaganie dotyczące używania tożsamości zarządzanych przypisanych przez system. Implementacja akceleratora strefy docelowej używa tożsamości zarządzanych przypisanych przez użytkownika z następujących powodów:

    • Możliwość ponownego użycia: ponieważ można tworzyć tożsamości i zarządzać nimi niezależnie od zasobów platformy Azure, do których są przypisane, umożliwia to ponowne użycie tej samej tożsamości zarządzanej w wielu zasobach, promowanie bardziej wydajnego i scentralizowanego podejścia do zarządzania tożsamościami.
    • Zarządzanie cyklem życia tożsamości: można niezależnie tworzyć, usuwać tożsamości zarządzane przypisane przez użytkownika i zarządzać nimi, co ułatwia zarządzanie zadaniami związanymi z tożsamościami bez wpływu na zasoby platformy Azure za ich pomocą.
    • Udzielanie uprawnień: masz większą elastyczność w udzielaniu uprawnień przy użyciu tożsamości zarządzanych przypisanych przez użytkownika. Te tożsamości można przypisać do określonych zasobów lub usług zgodnie z potrzebami, co ułatwia kontrolowanie dostępu do różnych zasobów i usług.

  • Użyj wbudowanych ról platformy Azure, aby przypisać uprawnienia najniższych uprawnień do zasobów i użytkowników.

  • Upewnij się, że dostęp do środowisk produkcyjnych jest ograniczony. W idealnym przypadku nikt nie ma stałego dostępu do środowisk produkcyjnych, zamiast tego polega na automatyzacji w celu obsługi wdrożeń i usługi Privileged Identity Management w celu uzyskania dostępu awaryjnego.

  • Utwórz środowiska produkcyjne i środowiska nieprodukcyjne w oddzielnych subskrypcjach platformy Azure, aby oddzielić granice zabezpieczeń.