Partager via

Gestion d’identités dans Azure Container Apps - Accélérateur de zone d'atterrissage

  • Article

Pour sécuriser votre application, vous pouvez activer l’authentification et l’autorisation via un fournisseur d’identité tel que Microsoft Entra ID ou ID externe Microsoft Entra.

Envisagez d’utiliser l’identité managée au lieu d’un principal de service pour vous connecter à d’autres ressources dans votre application conteneur. L’identité managée est préférable, car elle annule la nécessité de gérer les informations d’identification. Vous pouvez utiliser des identités managées attribuées par le système ou attribuées par l’utilisateur. Les identités managées affectées par le système offrent l’avantage de partager un cycle de vie avec la ressource Azure à laquelle elles sont attachées, comme une application conteneur. À l’inverse, une identité managée affectée par l’utilisateur est une ressource Azure indépendante qui peut être réutilisée sur plusieurs ressources, en favorisant une approche plus efficace et centralisée de la gestion des identités.

Recommandations

  • Si l’authentification est requise, utilisez l’ID Azure Entra ou l’ID Azure Entra B2C en tant que fournisseur d’identité.

  • Utilisez des inscriptions d’applications distinctes pour les environnements d’application. Par exemple, créez une inscription différente pour le développement et le test et la production.

  • Utilisez des identités managées affectées par l’utilisateur, sauf s’il existe une exigence forte pour utiliser des identités managées affectées par le système. L’implémentation de l’accélérateur de zone d’atterrissage utilise des identités managées affectées par l’utilisateur pour les raisons suivantes :

    • Réutilisabilité : étant donné que vous pouvez créer et gérer des identités séparément des ressources Azure auxquelles elles sont affectées, cela vous permet de réutiliser la même identité managée sur plusieurs ressources, en favorisant une approche plus efficace et centralisée de la gestion des identités.
    • Gestion du cycle de vie des identités : vous pouvez créer, supprimer et gérer des identités managées affectées par l’utilisateur indépendamment, ce qui facilite la gestion des tâches liées aux identités sans impact sur les ressources Azure qui les utilisent.
    • Octroi d’autorisations : vous avez une plus grande flexibilité dans l’octroi d’autorisations avec les identités managées assignées par l’utilisateur. Vous pouvez affecter ces identités à des ressources ou services spécifiques en fonction des besoins, ce qui facilite le contrôle de l’accès à diverses ressources et services.

  • Utilisez les rôles intégrés Azure pour attribuer des autorisations de privilège minimum aux ressources et aux utilisateurs.

  • Vérifiez que l’accès aux environnements de production est limité. Dans l’idéal, personne n’a un accès permanent aux environnements de production, en s’appuyant plutôt sur l’automatisation pour gérer les déploiements et Privileged Identity Management pour l’accès d’urgence.

  • Créez des environnements de production et des environnements hors production dans des abonnements Azure distincts pour délimiter leurs limites de sécurité.