İş yükü kimlikleri nedir?

İş yükü kimliği, diğer hizmet ve kaynaklara kimlik doğrulaması yapmak ve bunlara erişmek için yazılım iş yüküne (uygulama, hizmet, betik veya kapsayıcı gibi) atadığınız bir kimliktir. Terminoloji endüstri genelinde tutarsız olsa da genellikle bir iş yükü kimliği, yazılım varlığınızın bir sistemle kimlik doğrulaması için ihtiyacınız olan bir şeydir. Örneğin, GitHub Actions'ın Azure aboneliklerine erişebilmesi için eylemin bu aboneliklere erişimi olan bir iş yükü kimliğine ihtiyacı vardır. İş yükü kimliği, Amazon S3 demetine salt okunur erişime sahip bir EC2 örneğine eklenmiş bir AWS hizmet rolü de olabilir.

Microsoft Entra'da iş yükü kimlikleri uygulamalar, hizmet sorumluları ve yönetilen kimliklerdir.

Uygulama , uygulama nesnesi tarafından tanımlanan soyut bir varlık veya şablondur. Uygulama nesnesi, uygulamanızın tüm kiracılarda kullanılmak üzere genel gösterimidir. Uygulama nesnesi belirteçlerin nasıl verildiğini, uygulamanın erişmesi gereken kaynakları ve uygulamanın gerçekleştirebileceği eylemleri açıklar.

Hizmet sorumlusu, belirli bir kiracıdaki genel uygulama nesnesinin yerel gösterimi veya uygulama örneğidir. Uygulama nesnesi, uygulamanın kullanıldığı her kiracıda hizmet sorumlusu nesnesi oluşturmak için şablon olarak kullanılır. Hizmet sorumlusu nesnesi, uygulamanın belirli bir kiracıda gerçekte neler yapabileceğini, uygulamaya kimlerin erişebileceğini ve uygulamanın hangi kaynaklara erişebileceğini tanımlar.

Yönetilen kimlik, geliştiricilerin kimlik bilgilerini yönetme gereksinimini ortadan kaldıran özel bir hizmet sorumlusu türüdür.

Microsoft Entra Id'de iş yükü kimliklerinin kullanılmasının bazı yolları şunlardır:

  • Bir web uygulamasının yönetici veya kullanıcı onayı temelinde Microsoft Graph'a erişmesini sağlayan bir uygulama. Bu erişim, kullanıcı adına veya uygulama adına olabilir.
  • Bir geliştirici tarafından hizmetini Azure Key Vault veya Azure Depolama gibi bir Azure kaynağına erişim sağlamak için kullanılan yönetilen kimlik.
  • GitHub'dan Azure Uygulaması Service'e bir web uygulaması dağıtmak üzere CI/CD işlem hattını etkinleştirmek için geliştirici tarafından kullanılan hizmet sorumlusu.

İş yükü kimlikleri, diğer makine kimlikleri ve insan kimlikleri

Üst düzeyde iki kimlik türü vardır: insan ve makine/insan olmayan kimlikler. İş yükü kimlikleri ve cihaz kimlikleri birlikte makine (veya insan olmayan) kimlikler adlı bir grup oluşturur. İş yükü kimlikleri yazılım iş yüklerini temsil ederken cihaz kimlikleri masaüstü bilgisayarlar, mobil, IoT algılayıcıları ve IoT ile yönetilen cihazlar gibi cihazları temsil eder. Makine kimlikleri, çalışanlar (iç çalışanlar ve ön saf çalışanları) ve dış kullanıcılar (müşteriler, danışmanlar, satıcılar ve iş ortakları) gibi kişileri temsil eden insan kimliklerinden farklıdır.

Farklı makine ve insan kimlik türlerini gösteren diyagram.

İş yükü kimliklerinin güvenliğini sağlama gereksinimi

Giderek daha fazla çözüm, önemli görevleri tamamlamak için insan olmayan varlıklara dayanır ve insan olmayan kimliklerin sayısı önemli ölçüde artmaktadır. Son siber saldırılar, saldırganların insan olmayan kimlikleri insan kimlikleri üzerinde giderek daha fazla hedeflediğini gösteriyor.

İnsan kullanıcılar genellikle çok çeşitli kaynaklara erişmek için kullanılan tek bir kimliğe sahiptir. İnsan kullanıcının aksine, bir yazılım iş yükü farklı kaynaklara erişmek için birden çok kimlik bilgisi ile ilgilenebilir ve bu kimlik bilgilerinin güvenli bir şekilde depolanması gerekir. Ayrıca bir iş yükü kimliğinin ne zaman oluşturulduğunu veya ne zaman iptal edilmesi gerektiğini izlemek de zordur. Kuruluşlar, iş yükü kimliklerinin güvenliğini sağlamadaki zorluklar nedeniyle uygulamalarının veya hizmetlerinin kötüye kullanılması veya ihlal edilmesi riskini göze alır.

İş yükü kimliklerinin güvenliğini sağlamada sorun noktalarını gösteren diyagram.

Günümüzde piyasadaki çoğu kimlik ve erişim yönetimi çözümü, iş yükü kimliklerini değil yalnızca insan kimliklerinin güvenliğini sağlamaya odaklanmıştır. Microsoft Entra İş Yükü Kimliği, iş yükü kimliklerinin güvenliğini sağlarken bu sorunların çözülmesine yardımcı olur.

Önemli senaryolar

İş yükü kimliklerini kullanmanın bazı yolları aşağıdadır.

Uyarlamalı ilkelerle güvenli erişim:

Güvenliği aşılmış kimlikleri akıllı bir şekilde algılama:

  • Riskleri (sızdırılan kimlik bilgileri gibi) algılayın, tehditler içerir ve Microsoft Entra Kimlik Koruması kullanarak iş yükü kimliklerine yönelik riski azaltın.

Yaşam döngüsü yönetimini basitleştirme:

  • Yönetilen kimlikleri kullanarak Azure'da çalışan iş yüklerinin gizli dizilerini yönetmeye gerek kalmadan Microsoft Entra korumalı kaynaklara erişin.
  • GitHub Actions, Kubernetes üzerinde çalışan iş yükleri veya Azure dışındaki işlem platformlarında çalışan iş yükleri gibi desteklenen senaryolar için iş yükü kimlik federasyonu kullanarak gizli dizileri yönetmeye gerek kalmadan Microsoft Entra korumalı kaynaklara erişin.
  • Hizmet sorumluları için erişim gözden geçirmelerini kullanarak Microsoft Entra Id'de ayrıcalıklı dizin rollerine atanan hizmet sorumlularını ve uygulamaları gözden geçirin.

Sonraki adımlar

  • İş yükü kimlikleri hakkında sık sorulan soruların yanıtlarını alın.