你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 容器应用中的标识管理 - 登陆区域加速器
若要保护应用程序,可以通过标识提供者(如 Microsoft Entra ID 或 Microsoft Entra 外部 ID(预览版)启用身份验证和授权。
请考虑使用 托管标识 而不是服务主体连接到容器应用中的其他资源。 托管标识是可取的,因为它否定了管理凭据的需求。 可以使用 系统分配的或用户分配的托管标识。 系统分配的托管标识提供与附加的 Azure 资源(例如容器应用)共享生命周期的优势。 相反,用户分配的托管标识是一个独立的 Azure 资源,可在多个资源之间重复使用,从而提升标识管理的更高效和集中的方法。
建议
如果需要身份验证,请使用 Azure Entra ID 或 Azure Entra ID B2C 作为标识提供者。
为应用程序环境使用单独的应用注册。 例如,为开发与测试与生产创建不同的注册。
除非对使用系统分配的托管标识有很强的要求,否则请使用用户分配的托管标识。 登陆区域加速器实现出于以下原因使用用户分配的托管标识:
- 可重用性:由于可以独立于分配标识的 Azure 资源创建和管理标识,因此可以跨多个资源重复使用相同的托管标识,从而提升标识管理的更高效和集中的方法。
- 标识生命周期管理:可以独立创建、删除和管理用户分配的托管标识,从而更轻松地管理与标识相关的任务,而不会影响 Azure 资源使用它们。
- 授予权限:使用用户分配的托管标识授予权限具有更大的灵活性。 可以根据需要将这些标识分配给特定资源或服务,从而更轻松地控制对各种资源和服务的访问。
使用 Azure 内置角色 为资源和用户分配最低权限。
确保对生产环境的访问权限受到限制。 理想情况下,没有人能够长期访问生产环境,而是依靠自动化来处理部署和 Privileged Identity Management 进行紧急访问。
在单独的 Azure 订阅中创建生产环境和非生产环境,以划定其安全边界。