我一直在寻找一种方法来(进一步)限制对Azure Management API的调用。我们有调用Management API进行各种活动的代码,我想知道是否有可能添加额外的安全层以将Management API调用限制为一组IP范围。我认为管理API在Azure上是通用的,因此除非我的Google技能让我失望,否则这可能是行不通的。
除了在Azure API管理中创建代理并以这种方式进行控制(通过从执行工作的凭据中删除使用者身份)以外,还有其他好主意。
Azure AD多因素身份验证和有条件访问将对基于用户的呼叫有所帮助,但那些通过我们的CI / CD基础结构上的服务帐户运行的呼叫会出现问题。