Gerenciamento de identidade e acesso para o acelerador de zona de aterrissagem do Azure Spring Apps
Este artigo descreve considerações de design e recomendações para autenticar usuários no Azure Spring Apps e conceder aos usuários o nível necessário de acesso aos recursos de carga de trabalho.
A equipe de plataforma centralizada e as equipes de aplicativos devem ter um bom entendimento de:
- Quais equipes exigem acesso à carga de trabalho do aplicativo Azure Spring implantada na zona de aterrissagem do aplicativo.
- Os papéis e a responsabilidade dos usuários e de quem precisa de acesso.
- O nível mínimo de privilégio necessário para desempenhar essas responsabilidades.
Para obter informações sobre o design da plataforma, consulte a área de design de gerenciamento de acesso e identidade do Azure.
Como proprietário da carga de trabalho, siga estas práticas recomendadas para garantir que os recursos do aplicativo não violem os limites de segurança ou governança organizacionais. O objetivo é garantir que o aplicativo Azure Spring implantado e os recursos relacionados à carga de trabalho sejam seguros e acessíveis apenas por usuários autorizados. Ao seguir essas práticas, você protege dados confidenciais e evita o uso indevido do aplicativo e de seus recursos.
Considerações de design
Acesso a partir da aplicação a outros serviços. O aplicativo deve autenticar-se quando se conecta a serviços de back-end que fazem parte da carga de trabalho. Esta autenticação protege os serviços contra acesso não autorizado. Considere o uso de recursos do Microsoft Entra ID para evitar a sobrecarga de armazenamento e gerenciamento de credenciais.
Acesso à aplicação. Os utilizadores podem enviar pedidos para a aplicação através da Internet pública. Ou as solicitações podem vir de redes privadas ou locais. Em ambos os casos, o acesso deve ser autenticado com base em certificados de cliente ou através do Microsoft Entra ID.
Considere as opções de tecnologia para o mecanismo de descoberta de serviço que invoca chamadas entre aplicativos. As opções variam com base na camada do Azure Spring Apps.
Acesso do operador aos recursos. Membros da equipe com responsabilidades diferentes podem acessar sua carga de trabalho. Por exemplo, talvez seja necessário conceder acesso a:
- Membros da equipe da plataforma que precisam de acesso operacional.
- Membros da equipe de aplicativos que desenvolvem aplicativos.
- Engenheiros de DevOps que criam e liberam pipelines para implantar a carga de trabalho e configurar usando a infraestrutura como código (IaC).
- Engenheiros de confiabilidade do local para solução de problemas.
Com base na finalidade do acesso, decida o nível de controle que você deseja fornecer ao usuário. Comece pelo princípio do menor privilégio. As atribuições de função RBAC podem garantir que os usuários tenham o conjunto certo de privilégios para suas responsabilidades e mantenham limites. Considere funções RBAC internas antes de criar funções personalizadas.
Acesso aos dados de configuração. Com base na sua escolha de camada para o Azure Spring Apps (Basic/Standard ou Enterprise), você precisa decidir as opções do servidor de configuração.
Para Basic, considere o suporte para o lado do servidor e do cliente. Para armazenar seus arquivos do servidor de configuração, escolha uma configuração externalizada em um sistema distribuído, como Azure DevOps, GitHub, GitLab ou Bitbucket.
Você pode usar repositórios públicos ou privados e escolher seu mecanismo de autenticação. O Azure Spring Apps dá suporte a senha básica ou autenticação baseada em token e SSH.
Para Enterprise, considere o uso do Application Configuration Service for VMware Tanzu, que permite o gerenciamento de recursos ConfigMap nativos do Kubernetes que são preenchidos a partir de propriedades definidas em um ou mais repositórios Git.
Recomendações de design
Identidades geridas
Use identidades gerenciadas para o aplicativo para que ele seja autenticado por meio do Microsoft Entra ID. Nem todos os serviços suportam esta funcionalidade do Microsoft Entra ID. Para obter mais informações, consulte Serviços do Azure que oferecem suporte à autenticação do Microsoft Entra.
Decida qual tipo de identidade gerenciada é apropriado para seu caso de uso. Considere as compensações com facilidade de gerenciamento. Por exemplo, se o aplicativo precisar acessar vários recursos, as identidades gerenciadas atribuídas pelo usuário são recomendadas. Mas se você quiser permissões vinculadas ao ciclo de vida do aplicativo, as identidades gerenciadas pelo sistema podem ser mais adequadas.
Para obter mais informações, consulte Escolher identidades gerenciadas atribuídas pelo sistema ou pelo usuário.
Use funções internas do RBAC do Azure para simplificar o gerenciamento das permissões necessárias para uma identidade gerenciada.
- Use sua própria identidade gerenciada para o Azure Spring Apps.
- Use identidades gerenciadas atribuídas pelo sistema e pelo usuário separadamente. Para obter mais informações, consulte Práticas recomendadas ao usar identidades gerenciadas.
- Use o gerenciamento privilegiado de identidades no Microsoft Entra ID.
Comunicação segura via Internet
- Use certificados emitidos por uma autoridade de certificação, certificados de validação estendida ou certificados curinga.
- Use certificados autoassinados somente para ambientes de pré-produção.
- Carregue certificados com segurança do Cofre de Chaves do Azure.
Controlo de acesso baseado em funções (RBAC)
- Considere a criação de funções personalizadas. Siga o princípio do menor privilégio quando funções prontas para uso exigirem modificações nas permissões existentes.
- Escolha o armazenamento de segurança aprimorada para chaves, segredos, certificados e configuração de aplicativos.
- Para implantação automatizada, configure uma entidade de serviço que tenha as permissões mínimas necessárias para implantar a partir do pipeline de CI/CD.
- Habilite o log de diagnóstico para o console do aplicativo, logs do sistema, logs de entrada, logs de compilação e logs de eventos de contêiner. Você pode usar esses logs detalhados para diagnosticar problemas com seu aplicativo e monitorar solicitações de acesso. Quando você habilita esses logs, um log de atividades do Azure Monitor fornece informações sobre eventos no nível de assinatura.