最小權限原則 Least privilege
當超過帳號需要使用的權限(privilege exceed),這很可能造成使用者有過多的權限而造成誤觸、誤啟用、誤刪等事件。Azure建議所有攸關權限的設定都應給予最小權限[1].以避免上述過多權限所造成的問題, 可以透過Azure RBAC來實現。
關於多重要素驗證資訊請參考下方連結。
[1]only-grant-the-access-users-need
服務帳號 Service Account
Microsoft Entra ID 原生存在三種類型的服務帳戶:
- 受控識別 (Managed identities)
- 服務主體 (service principals)
- 用戶帳戶作為服務帳戶使用 (user accounts employed as service accounts)
服務帳戶是一種特殊類型的帳戶,旨在代表非人類實體,例如應用程式、API 或其他服務。這些實體在服務帳戶提供的安全性運作. 針對在 Azure 中的服務,建議您盡可能使用受控識別,如果不是,則使用服務主體(需要key)。 受控識別無法用於Azure 外部的服務。 在此情況下,建議使用服務主體。(上圖為使用情境判別 )
常見問題 FAQ
什麼是 Azure 最小權限原則 & 服務帳號?
Azure 最小權限原則 & 服務帳號 是 Microsoft Azure 雲端平台提供的服務,當超過帳號需要使用的權限,這很可能造成使用者有過多的權限而造成誤觸、誤啟用、誤刪等事件。Azure建議所有攸關權限的設定都應給予最小權限,以避免上述過多權限所造。
如何在 Azure 上設定 最小權限原則 & 服務帳號?
在 Azure 入口網站中,前往對應服務頁面,依步驟完成 最小權限原則 & 服務帳號 的建立與配置,本文提供詳細操作說明。
使用 Azure 最小權限原則 & 服務帳號 需要哪些先決條件?
需要擁有有效的 Azure 訂用帳戶及適當的 RBAC 權限,建議以系統管理員身分進行設定。