Gestion des identités et des accès pour l’accélérateur de zone d’atterrissage Azure Spring Apps
Cet article décrit les considérations et recommandations relatives à la conception pour authentifier les utilisateurs dans Azure Spring Apps et accorder aux utilisateurs le niveau d’accès nécessaire aux ressources de la charge de travail.
L’équipe de la plateforme centralisée et les équipes d’application doivent avoir une bonne compréhension des points suivants :
- Quelles équipes ont besoin d’accéder à la charge de travail Azure Spring App déployée dans la zone d’atterrissage de l’application.
- Les rôles et la responsabilité des utilisateurs et qui at besoin d’un accès.
- Le niveau minimal de privilège requis pour assumer ces responsabilités.
Pour obtenir des informations sur la conception de la plateforme, consultez l’article Zone de conception de la gestion des identités et des accès Azure.
En tant que propriétaire de la charge de travail, suivez ces bonnes pratiques pour vous assurer que les ressources d’application ne violent pas les limites de sécurité ou de gouvernance de l’organisation. L’objectif est de vous assurer que l’application Azure Spring déployée et les ressources associées de la charge de travail sont sécurisées et accessibles uniquement aux utilisateurs autorisés. Lorsque vous procédez ainsi, vous protégez les données sensibles et empêchez toute utilisation incorrecte de l’application et de ses ressources.
Remarques relatives à la conception
Accès à partir de l’application à d’autres services. L’application doit s’authentifier lors de la connexion aux services principaux qui font partie de la charge de travail. Cette authentification protège les services de tout accès non autorisé. Pensez à utiliser les fonctionnalités de Microsoft Entra ID pour éviter la surcharge liée au stockage et à la gestion des informations d’identification.
Accéder à l’application. Les utilisateurs peuvent envoyer des requêtes à l’application via l’Internet public. Ou les requêtes peuvent provenir de réseaux privés ou locaux. Dans les deux cas, l’accès doit être authentifié en fonction des certificats clients ou via Microsoft Entra ID.
Pensez aux options technologiques pour le mécanisme de découverte de service qui lance des appels entre les applications. Les options varient en fonction du niveau Azure Spring Apps.
- De base/Standard : Kubernetes service discovery ou le registre des services managés Spring Cloud (à l’aide d’Eureka)
- Entreprise : Registre de Tanzu Service
Accès opérateur aux ressources. Les membres de l’équipe ayant des responsabilités différentes peuvent accéder à votre charge de travail. Par exemple, vous devrez peut-être accorder l’accès :
- Les membres de l’équipe de la plateforme qui ont besoin d’un accès opérationnel.
- Les membres de l’équipe d’application qui développent des applications.
- Les ingénieurs DevOps qui génèrent et mettent en production des pipelines pour déployer la charge de travail et la configurer à l’aide de l’infrastructure en tant que code (IaC).
- Les ingénieurs fiabilité du site pour la résolution des problèmes.
En fonction de l’objectif de l’accès, déterminez le niveau de contrôle que vous souhaitez fournir à l’utilisateur. Commencez par le principe des privilèges minimum. Les attributions de rôles RBAC peuvent garantir que les utilisateurs disposent de l’ensemble des privilèges correspondant à leurs responsabilités et maintiennent les limites. Pensez aux rôles RBAC intégrés avant de créer des rôles personnalisés.
Accès aux données de configuration. En fonction de votre choix de niveau pour Azure Spring Apps (De base/Standard ou Entreprise), vous devez déterminer les options de serveur de configuration.
Pour le niveau De base, envisagez la prise en charge côté serveur et côté client. Pour stocker vos fichiers de serveur de configuration, choisissez une configuration externalisée dans un système distribué, comme Azure DevOps, GitHub, GitLab ou Bitbucket.
Vous pouvez utiliser des référentiels publics ou privés et choisir leur mécanisme d’authentification. Azure Spring Apps prend en charge l’authentification de base par mot de passe/jeton et SSH.
Pour Entreprise, pensez à l’utilisation d’Application Configuration Service pour VMware Tanzu, qui permet la gestion des ressources ConfigMap de Kubernetes natifs qui sont renseignées avec les propriétés définies dans un ou plusieurs dépôts Git.
Recommandations de conception
Identités managées
Utilisez les identités managées de l’application afin qu’elle soit authentifiée via Microsoft Entra ID. Les services ne prennent pas tous en charge cette fonctionnalité de Microsoft Entra ID. Pour plus d’informations, consultez l’article Services Azure qui prennent en charge l’authentification Microsoft Entra.
Déterminez le type d’identité managée qui convient à votre cas d’usage. Pensez aux compromis avec facilité de gestion. Par exemple, si l’application doit accéder à plusieurs ressources, des identités managées attribuées par l’utilisateur sont recommandées. Toutefois, si vous souhaitez que les autorisations soient liées au cycle de vie de l’application, des identités managées par le système peuvent être mieux adaptées.
Pour plus d’informations, consultez Choisir des identités managées attribuées par le système ou par l’utilisateur.
Utilisez des rôles RBAC Azure intégrés pour simplifier la gestion des autorisations requises pour une identité managée.
- Utilisez votre propre identité managée pour Azure Spring Apps.
- Utilisez les identités managées attribuées par le système et par l’utilisateur séparément. Pour plus d’informations, consultez Meilleures pratiques d’utilisation d’identités managées.
- Utilisez Privileged Identity Management dans Microsoft Entra ID.
Sécurisez la communication Internet
- Utilisez des certificats émis par une autorité de certification, des certificats de validation étendus ou des certificats génériques.
- Utilisez un certificat auto-signé uniquement pour les environnements de préproduction.
- Chargez en toute sécurité des certificats depuis Azure Key Vault.
Contrôle d’accès en fonction du rôle
- Envisagez de créer des rôles personnalisés. Suivez le principe des privilèges minimum quand les rôles prêts à l’emploi nécessitent que les autorisations existantes soient modifiées.
- Choisissez un stockage à sécurité renforcée pour les clés, les secrets, les certificats et la configuration de l’application.
- Pour un déploiement automatisé, configurez un principal de service disposant des autorisations minimales requises pour le déploiement à partir du pipeline CI/CD.
- Activez la journalisation des diagnostics pour la console d’application, les journaux système, les journaux d’entrée, les journaux de génération et les journaux d’événements de conteneur. Vous pouvez utiliser ces journaux détaillés pour diagnostiquer les problèmes liés à votre application et superviser les demandes d’accès. Lorsque vous activez ces journaux, un journal d’activité Azure Monitor vous donne un aperçu des événements au niveau de l’abonnement.