Compartilhar via

Gerenciamento de identidades em aplicativos de contêiner do Azure - Landing Zone Accelerator

  • Artigo

Para proteger seu aplicativo, você pode habilitar a autenticação e a autorização por meio de um provedor de identidade, como o Microsoft Entra ID ou o Microsoft Entra External ID (visualização).

Considere usar a identidade gerenciada em vez de uma entidade de serviço para se conectar a outros recursos em seu aplicativo de contêiner. A identidade gerenciada é preferível, pois elimina a necessidade de gerenciar credenciais. Você pode usar identidades gerenciadas atribuídas pelo sistema ou pelo usuário. As identidades gerenciadas atribuídas pelo sistema oferecem a vantagem de compartilhar um ciclo de vida com o recurso do Azure ao qual estão anexadas, como um Aplicativo de Contêiner. Por outro lado, uma identidade gerenciada atribuída pelo usuário é um recurso independente do Azure que pode ser reutilizado em vários recursos, promovendo uma abordagem mais eficiente e centralizada para o gerenciamento de identidades.

Recomendações

  • Se a autenticação for necessária, use a ID do Azure Entra ou a ID do Azure Entra B2C como um provedor de identidade.

  • Use registros de aplicativo separados para os ambientes de aplicativo. Por exemplo, crie um registro diferente para desenvolvimento vs. teste vs. produção.

  • Use identidades gerenciadas atribuídas pelo usuário, a menos que haja um forte requisito para usar identidades gerenciadas atribuídas pelo sistema. A implementação do Landing Zone Accelerator usa identidades gerenciadas atribuídas pelo usuário pelos seguintes motivos:

    • Reutilização: Como você pode criar e gerenciar identidades separadamente dos recursos do Azure aos quais elas estão atribuídas, isso permite que você reutilize a mesma identidade gerenciada em vários recursos, promovendo uma abordagem mais eficiente e centralizada para o gerenciamento de identidades.
    • Gerenciamento do Ciclo de Vida da Identidade: você pode criar, excluir e gerenciar identidades gerenciadas atribuídas pelo usuário de forma independente, facilitando o gerenciamento de tarefas relacionadas à identidade sem afetar os recursos do Azure que as utilizam.
    • Concedendo permissões: você tem maior flexibilidade na concessão de permissões com identidades gerenciadas atribuídas pelo usuário. Você pode atribuir essas identidades a recursos ou serviços específicos, conforme necessário, facilitando o controle de acesso a vários recursos e serviços.

  • Use funções internas do Azure para atribuir permissões de privilégios mínimos a recursos e usuários.

  • Certifique-se de que o acesso aos ambientes de produção seja limitado. Idealmente, ninguém tem acesso permanente a ambientes de produção, em vez disso, depende da automação para lidar com implantações e do Gerenciamento de Identidades Privilegiadas para acesso de emergência.

  • Crie ambientes de produção e ambientes de não produção em assinaturas separadas do Azure para delinear seus limites de segurança.