Zagadnienia dotyczące zarządzania tożsamościami i dostępem dla akceleratora strefy docelowej usług Azure Integration Services
Ten artykuł opiera się na wskazówkach podanych w artykule Strefa docelowa platformy Azure obszar projektowania strefy docelowej platformy Azure na potrzeby zarządzania tożsamościami i dostępem. Wskazówki przedstawione w poniższym artykule pomogą Zidentyfikować zagadnienia i zalecenia dotyczące projektowania związane z zarządzaniem tożsamościami i dostępem specyficznymi dla wdrożenia usług Azure Integration Services (AIS). Jeśli usługa AIS jest wdrażana w celu obsługi platform o znaczeniu krytycznym, wskazówki dotyczące obszarów projektowych strefy docelowej platformy Azure powinny być również uwzględnione w projekcie.
Zarządzanie tożsamościami i dostępem (IAM) — omówienie
Na potrzeby tego artykułu zarządzanie tożsamościami i dostępem (IAM) odnosi się do opcji uwierzytelniania i autoryzacji dostępnych do wdrażania lub obsługi zasobów na platformie Azure. W praktyce wiąże się to z określeniem, które tożsamości mają uprawnienia do tworzenia, aktualizowania, usuwania i zarządzania zasobami za pośrednictwem witryny Azure Portal lub za pośrednictwem interfejsu API usługi Resource Manager.
Zarządzanie dostępem i tożsamościami to oddzielna kwestia od zabezpieczeń punktu końcowego, która definiuje, które tożsamości mogą wywoływać usługi i uzyskiwać do nich dostęp. Zabezpieczenia punktu końcowego zostały omówione w osobnym artykule Zabezpieczenia w tej serii. Mówi się, że czasami dwa obszary projektowe nakładają się na siebie: w przypadku niektórych usług na platformie Azure dostęp do punktu końcowego jest konfigurowany za pośrednictwem tych samych mechanizmów kontroli RBAC używanych do zarządzania dostępem do zasobów.
Uwagi dotyczące projektowania
Określ granice administracyjne zasobów platformy Azure dla wdrażanych zasobów, biorąc pod uwagę rozdzielenie obowiązków i wydajności operacyjnej.
Przejrzyj działania związane z administracją i zarządzaniem platformą Azure, które wymagają wykonania przez zespoły. Rozważ zasoby sztucznej inteligencji, które wdrożysz i jak będą z nich korzystać. Określ najlepszą możliwą dystrybucję obowiązków w organizacji.
Zalecenia dotyczące projektowania
Używanie tożsamości zarządzanych dla zasobów usług integracji — zobacz artykuł Zabezpieczenia w tej serii, aby uzyskać szczegółowy opis tego zalecenia.
Użyj identyfikatora Entra firmy Microsoft do uwierzytelniania w zasobach usług integracji.
Rozważ poziom dostępu wymagany przez role w organizacji i zastosuj zasadę najniższych uprawnień według roli. Te role mogą obejmować właścicieli platform, właścicieli obciążeń, inżynierów devops i administratorów systemu, na przykład.
Korzystając z zasady najniższych uprawnień, należy wziąć pod uwagę role potrzebne do zarządzania aplikacjami AIS i ich obsługi. Pytania, które należy zadać w tym zakresie:
KtoTo należy wyświetlić pliki dziennika ze źródeł, takich jak aplikacje Szczegółowe informacje, log analytics i konta magazynu?
Czy ktoś musi wyświetlać oryginalne dane żądania (w tym dane poufne)?
Skąd można wyświetlać oryginalne dane żądania (na przykład tylko z sieci firmowej)?
KtoTo można wyświetlić historię uruchamiania przepływu pracy?
KtoTo można ponownie przesłać przebieg, który zakończył się niepowodzeniem?
KtoTo potrzebuje dostępu do kluczy subskrypcji usługi API Management?
KtoTo może wyświetlać zawartość tematu lub subskrypcji usługi Service Bus albo wyświetlać metryki kolejki/tematu?
KtoTo musi być w stanie administrować usługą Key Vault?
KtoTo musi być w stanie dodawać, edytować lub usuwać klucze, wpisy tajne i certyfikaty w usłudze Key Vault?
KtoTo musi być w stanie wyświetlać i odczytywać klucze, wpisy tajne lub certyfikaty w usłudze Key Vault?
Czy istniejące wbudowane role i grupy firmy Microsoft obejmują określone wymagania?
Tworzenie ról niestandardowych w celu ograniczenia dostępu lub zapewnienia większej szczegółowości uprawnień, gdy wbudowane role nie będą wystarczająco blokować dostępu. Na przykład dostęp do adresu URL wywołania zwrotnego dla aplikacji logiki wymaga jednego uprawnienia, ale nie ma wbudowanej roli dla tego typu dostępu innego niż "Współautor" lub "Właściciel", które są zbyt szerokie.
Zapoznaj się z używaniem usługi Azure Policy, aby ograniczyć dostęp do określonych zasobów lub wymusić zgodność z zasadami firmy. Można na przykład utworzyć zasady, które zezwalają tylko na wdrażanie interfejsów API usługi API Management korzystających z szyfrowanych protokołów.
Przejrzyj typowe działania związane z administracją i zarządzaniem usługami AIS na platformie Azure i odpowiednio przypisz uprawnienia RBAC. Aby uzyskać więcej informacji na temat dostępnych uprawnień, zobacz Operacje dostawcy zasobów.
Oto kilka przykładów typowych działań administracyjnych platformy Azure:
| Zasób platformy Azure | Dostawca zasobów platformy Azure | Działania |
|---|---|---|
| Plan usługi App Service | Microsoft.Web/serverfarms | Odczytywanie, dołączanie, ponowne uruchamianie, uzyskiwanie Połączenie sieci wirtualnej |
| Połączenie interfejsu API | Microsoft.Web/connections | Aktualizowanie, potwierdzanie |
| Logic Apps and Functions | Microsoft.Web/sites | Read, Start, Stop, Restart, Swap, Update Config, Read Diagnostics, Get VNet Połączenie ions |
| Konto integracji | Microsoft.Logic/integrationAccounts | Read/Add/Update/Delete Assemblies, Read/Add/Update/Delete Mapy, Read/Add/Update/Delete Schemas, Read/Add/Update/Delete Agreement, Read/Add/Update/Delete Partners |
| Service Bus | Microsoft.ServiceBus | Read, Get Połączenie ion String, Update DR Config, Read Queues, Read Topics, Read Subscriptions |
| Konto magazynu | Microsoft.Storage/storageAccounts | Odczyt, zmiana (na przykład historia uruchamiania przepływu pracy) |
| API Management | Microsoft.ApiManagement | Rejestrowanie/usuwanie użytkownika, odczytywanie interfejsów API, zarządzanie autoryzacjami, zarządzanie pamięcią podręczną |
| KeyVault | Microsoft.KeyVault/vaults | Tworzenie magazynu, edytowanie zasad dostępu |
Następny krok
Przejrzyj krytyczne obszary projektowe, aby uwzględnić wszystkie zagadnienia i zalecenia dotyczące architektury.