Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Von Bedeutung
Hinweis zur Einstellung: Dieser Artikel ist veraltet und wird nicht mehr aktualisiert. Um sicherzustellen, dass nur die besten Anleitungen angezeigt werden, wird dieser Artikel im Mai 2026 gelöscht.
Alternative Anleitungen finden Sie unter Azure Container Apps Architekturleitfaden im Azure Architecture Center.
Wenn Sie diese Anleitung speichern möchten, können Sie Download a PDF unten links auf dieser Seite auswählen oder die Dateien aus GitHub herunterladen.
Um Ihre Anwendung zu schützen, können Sie die Authentifizierung und Autorisierung über einen Identitätsanbieter wie Microsoft Entra ID oder Microsoft Entra External ID aktivieren.
Erwägen Sie die Verwendung der verwalteten Identität anstelle eines Dienstprinzipals, um eine Verbindung mit anderen Ressourcen in Ihrer Container-App herzustellen. Verwaltete Identität ist vorzuziehen, da sie die Notwendigkeit für die Verwaltung von Anmeldeinformationen negiert. Sie können vom System zugewiesene oder vom Benutzer zugewiesene verwaltete Identitäten verwenden. Vom System zugewiesene verwaltete Identitäten bieten den Vorteil, einen Lebenszyklus mit der Azure Ressource zu teilen, an die sie angefügt sind, z. B. eine Container-App. Umgekehrt ist eine vom Benutzer zugewiesene verwaltete Identität eine unabhängige Azure Ressource, die über mehrere Ressourcen hinweg wiederverwendet werden kann, um einen effizienteren und zentralisierteren Ansatz für die Identitätsverwaltung zu fördern.
Empfehlungen
Wenn die Authentifizierung erforderlich ist, verwenden Sie Microsoft Entra ID oder Entra External ID als Identitätsanbieter.
Verwenden Sie separate App-Registrierungen für die Anwendungsumgebungen. Erstellen Sie z. B. eine andere Registrierung für Entwicklung, Test und Produktion.
Verwenden Sie vom Benutzer zugewiesene verwaltete Identitäten, es sei denn, es gibt eine starke Anforderung für die Verwendung von vom System zugewiesenen verwalteten Identitäten. Die Implementierung des Landing Zone Accelerator verwendet aus folgenden Gründen vom Benutzer zugewiesene verwaltete Identitäten:
- Wiederverwendbarkeit: Da Sie Identitäten getrennt von den Azure Ressourcen erstellen und verwalten können, denen sie zugewiesen sind, können Sie die gleiche verwaltete Identität über mehrere Ressourcen hinweg wiederverwenden und einen effizienteren und zentralisierten Ansatz für die Identitätsverwaltung fördern.
- Identity Lifecycle Management: Sie können vom Benutzer zugewiesene verwaltete Identitäten unabhängig erstellen, löschen und verwalten, sodass identitätsbezogene Aufgaben einfacher verwaltet werden können, ohne dass sich dies auf die Azure Ressourcen auswirkt.
- Erteilen von Berechtigungen: Sie haben mehr Flexibilität beim Erteilen von Berechtigungen mit vom Benutzer zugewiesenen verwalteten Identitäten. Sie können diese Identitäten nach Bedarf bestimmten Ressourcen oder Diensten zuweisen, sodass der Zugriff auf verschiedene Ressourcen und Dienste einfacher gesteuert werden kann.
Verwenden Sie Azure eingebaute Rollen, um Ressourcen und Benutzern geringste Berechtigungen zuzuweisen.
Stellen Sie sicher, dass der Zugriff auf Produktionsumgebungen eingeschränkt ist. Im Idealfall verfügt niemand über ständigen Zugriff auf Produktionsumgebungen, sondern setzt auf automatisierungsbasierte Bereitstellungen und Privileged Identity Management für den Notfallzugriff.
Erstellen Sie Produktionsumgebungen und Nicht-Produktionsumgebungen in separaten Azure-Abonnements, um ihre Sicherheitsgrenzen abzugrenzen.