最小權限原則 Least privilege
當超過帳號需要使用的權限(privilege exceed),這很可能造成使用者有過多的權限而造成誤觸、誤啟用、誤刪等事件。Azure建議所有攸關權限的設定都應給予最小權限[1].以避免上述過多權限所造成的問題, 可以透過Azure RBAC來實現。
關於多重要素驗證資訊請參考下方連結。
[1]only-grant-the-access-users-need
服務帳號 Service Account
Microsoft Entra ID 原生存在三種類型的服務帳戶:
- 受控識別 (Managed identities)
- 服務主體 (service principals)
- 用戶帳戶作為服務帳戶使用 (user accounts employed as service accounts)
服務帳戶是一種特殊類型的帳戶,旨在代表非人類實體,例如應用程式、API 或其他服務。這些實體在服務帳戶提供的安全性運作. 針對在 Azure 中的服務,建議您盡可能使用受控識別,如果不是,則使用服務主體(需要key)。 受控識別無法用於Azure 外部的服務。 在此情況下,建議使用服務主體。(上圖為使用情境判別 )