Azure最小權限原則 Least privilege

當超過帳號需要使用的權限(privilege exceed),這很可能造成使用者有過多的權限而造成誤觸、誤啟用、誤刪等事件。Azure建議所有攸關權限的設定都應給予最小權限[1].以避免上述過多權限所造成的問題, 可以透過Azure RBAC來實現。
關於多重要素驗證資訊請參考下方連結。
[1]only-grant-the-access-users-need
服務帳號 Service Account
Microsoft Entra ID 原生存在三種類型的服務帳戶:
- 受控識別 (Managed identities)
- 服務主體 (service principals)
- 用戶帳戶作為服務帳戶使用 (user accounts employed as service accounts)
服務帳戶是一種特殊類型的帳戶,旨在代表非人類實體,例如應用程式、API 或其他服務。這些實體在服務帳戶提供的安全性運作. 針對在 Azure 中的服務,建議您盡可能使用受控識別,如果不是,則使用服務主體(需要key)。 受控識別無法用於Azure 外部的服務。 在此情況下,建議使用服務主體。(上圖為使用情境判別 )
常見問題 FAQ
什麼是 Azure 最小權限原則 & 服務帳號?
Azure 最小權限原則(Principle of Least Privilege)是指僅授與使用者、應用程式或服務完成特定工作所需的最低權限,避免因權限過大而導致誤觸、誤刪或遭惡意利用。Azure 環境通常透過 RBAC 實作權限管理,並依角色與範圍(訂用帳戶、資源群組、單一資源)精細控制存取層級。服務帳號或服務主體同樣應遵循最小權限原則,僅授與執行特定任務所需的角色與範圍,並定期檢視與移除不再需要的權限。
如何在 Azure 上設定 最小權限原則 & 服務帳號?
在 Azure 入口網站中,可透過 Microsoft Entra ID 的角色與系統管理員區域管理目錄層級角色指派;透過訂用帳戶或資源群組的存取控制(IAM)管理特定範圍的權限。服務帳號的權限應依實際使用情境選擇對應的內建角色,或建立自訂角色以精確限制可執行的操作,避免直接套用 Owner 或 Contributor 等過於廣泛的角色。建議定期使用 Access Review 檢視現有權限指派,移除閒置或過期的授權。
使用 Azure 最小權限原則 & 服務帳號 需要哪些先決條件?
需具備有效的 Azure 訂用帳戶。設定 RBAC 角色指派通常需要目標範圍的 User Access Administrator 或 Owner 權限;建立與管理服務帳號、應用程式或服務主體,則需要 Microsoft Entra ID 的對應管理權限。建議由具備足夠權限的系統管理員統一規劃角色指派策略,再依部門或專案需求逐一配置,避免權限蔓延(Permission Sprawl)。