Поделиться через


Защита облачных учетных записей служб

Существует три типа учетных записей служб, собственных идентификатору Microsoft Entra: управляемые удостоверения, субъекты-службы и учетные записи службы на основе пользователей. Учетные записи служб — это особый тип учетных записей, которые представляют сущности, не относящиеся к человеку, например, приложение, API или другая служба. Такие сущности работают в контексте безопасности, предоставляемом учетной записью службы.

Типы учетных записей службы Microsoft Entra

Для размещенных в Azure служб рекомендуется использовать управляемое удостоверение, если оно доступно, а если недоступно, то субъект-службу. Управляемые удостоверения нельзя использовать для служб, размещенных за пределами Azure. В этом случае мы рекомендуем использовать субъект-службу. Если вам доступно управляемое удостоверение или субъект-служба, используйте их. Рекомендуется не использовать учетную запись пользователя Microsoft Entra в качестве учетной записи службы. Сводку см. в приведенной ниже таблице.

Размещение службы Управляемое удостоверение Субъект-служба Учетная запись Azure
Служба размещается в Azure. Да.
Рекомендуется, если служба
поддерживает управляемое удостоверение.
Да. Не рекомендуется.
Служба не размещается в Azure. No Да. Рекомендуется. Не рекомендуется.
Служба поддерживает несколько клиентов No Да. Рекомендуется.

Управляемые удостоверения

Управляемые удостоверения — это защищенные удостоверения Microsoft Entra, созданные для предоставления удостоверений для ресурсов Azure. Существует два типа управляемых удостоверений:

  • Назначенные системой управляемые удостоверения можно назначать непосредственно экземпляру службы.

  • Назначаемое пользователем управляемое удостоверение можно создавать как автономный ресурс.

Дополнительные сведения см. в статье Защита управляемых удостоверений. Общие сведения об управляемых удостоверениях см. в статье Что такое управляемые удостоверения для ресурсов Azure?

Субъекты-службы

Если вы не можете использовать управляемое удостоверение для представления приложения, используйте субъект-службу. Субъект-службы можно использовать для приложений с поддержкой одного или нескольких клиентов.

Субъект-служба — это локальное представление объекта приложения в одном клиенте Microsoft Entra. Она выполняет функцию удостоверения экземпляра приложения, определяет, у кого есть доступ к приложению, а также какие ресурсы доступны приложению. Субъект-служба создается в каждом клиенте (локально), где используется приложение, и ссылается на глобальный уникальный объект приложения. Клиент защищает вход субъекта-службы и доступ к ресурсам.

Существует два механизма проверки подлинности с помощью субъект-служб: сертификаты клиента и секреты клиента. По возможности используйте сертификаты клиентов, так как они более безопасны. В отличие от секретов клиента, сертификаты клиентов невозможно случайно внедрить в код.

Для получения информации о защите субъектов-служб см. Защита субъектов-служб.

Следующие шаги

Дополнительную информацию об учетных записях служб Azure см. в статьях:

Защита управляемых удостоверений

Защита субъектов-служб

Управление учетными записями службы Azure