Azure Integration Services 登陸區域加速器的身分識別和存取管理考慮
本文以 Azure 登陸區域文章 Azure 登陸區域設計區域中提供的指引為基礎,以進行身分識別和存取管理 。 下列文章中提供的指引將協助您識別與身分識別和存取管理相關的設計考慮和建議,特別是 Azure Integration Services (AIS) 的部署。 如果 AIS 已部署以支援任務關鍵性平臺,則 Azure 登陸區域設計區域的指引也應該包含在您的設計中。
身分識別與存取管理 (IAM) 概觀
針對本文的目的,身分識別與存取管理 (IAM) 是指可在 Azure 中部署或維護資源的驗證和授權選項。 實際上,這牽涉到識別哪些身分識別有權透過Azure 入口網站或透過 Resource Manager API 來建立、更新、刪除和管理資源。
IAM 是端點安全性的個別考慮,其定義哪些身分識別可以呼叫並存取您的服務。 此系列中的個別 安全性文章涵蓋端點安全性 。 也就是說,有時兩個設計區域重迭:針對 Azure 中的某些服務,端點的存取是透過用來管理資源存取權的相同 RBAC 控制項來設定。
設計考量
決定您所部署資源的 Azure 資源管理界限,考慮職責和營運效率的區隔。
檢閱您需要小組執行的 Azure 管理和管理活動。 請考慮您將部署的 AIS 資源,以及其使用方式。 判斷組織內最可能的責任分佈。
設計建議
針對整合服務資源使用受控識別 - 如需此建議的詳細描述,請參閱 本系列中的安全性 文章。
使用 Microsoft Entra ID 進行驗證以整合服務資源。
請考慮組織內角色所需的存取層級,並依角色套用最低許可權原則。 這些角色可能包括平臺擁有者、工作負載擁有者、Devops 工程師和系統管理員,例如。
使用最低許可權原則,請考慮您需要管理和維護 AIS 應用程式的角色。 在這方面要詢問的問題:
神秘需要檢視來自 Application Insights、Log Analytics 和 儲存體 帳戶等來源的記錄檔?
是否有人需要檢視原始要求資料(包括敏感性資料)?
原始要求資料可從何處檢視(例如,僅從公司網路檢視) ?
神秘可以檢視工作流程的執行歷程記錄嗎?
神秘可以重新提交失敗的執行?
神秘需要存取API 管理訂用帳戶金鑰嗎?
神秘可以檢視服務匯流排主題或訂用帳戶的內容,或查看佇列/主題計量?
神秘必須能夠管理金鑰保存庫?
神秘必須能夠在金鑰保存庫中新增、編輯或刪除金鑰、秘密和憑證?
神秘必須能夠檢視和讀取金鑰保存庫中的金鑰、秘密或憑證?
現有的內建 Microsoft Entra 角色和群組會涵蓋您已識別的需求嗎?
建立自訂角色以限制存取權,或在內建角色無法充分鎖定存取權時提供更細微的許可權。 例如,對邏輯應用程式的回呼 URL 的存取需要單一許可權,但「參與者」或「擁有者」以外的存取類型沒有內建角色,這些存取範圍太廣。
請參閱使用Azure 原則來限制特定資源的存取,或強制執行公司原則的合規性。 例如,您可以建立只允許部署使用加密通訊協定API 管理 API 的原則。
檢閱在 Azure 上管理與管理 AIS 相關的常見活動,並適當地指派 RBAC 許可權。如需可用許可權的詳細資訊,請參閱 資源提供者作業 。
常見 Azure 管理活動的一些範例包括:
| Azure 資源 | Azure 資源提供者 | 活動 |
|---|---|---|
| App Service 方案 | Microsoft.Web/serverfarms | 讀取、聯結、重新開機、取得 VNet 連線 |
| API 連線 | Microsoft.Web/connections | 更新、確認 |
| Logic Apps 和函式 | Microsoft.Web/sites | 讀取、啟動、停止、重新開機、交換、更新設定、讀取診斷、取得 VNet 連線 |
| 整合帳戶 | Microsoft.Logic/integrationAccounts | 讀取/新增/更新/刪除元件、讀取/新增/更新/刪除地圖、讀取/新增/更新/刪除架構、讀取/新增/更新/刪除合約、讀取/新增/更新/刪除夥伴 |
| 服務匯流排 | Microsoft.ServiceBus | 讀取、取得連線字串、更新 DR 設定、讀取佇列、讀取主題、讀取訂閱 |
| 儲存體帳戶 | Microsoft.Storage/storageAccounts | 讀取、變更 (例如工作流程執行歷程記錄) |
| API 管理 | Microsoft.ApiManagement | 註冊/刪除使用者、讀取 API、管理授權、管理快取 |
| KeyVault | Microsoft.KeyVault/vaults | 建立保存庫,編輯存取原則 |
後續步驟
檢閱重要的設計區域,以針對您的架構進行完整的考慮和建議。