我指的是Application and service principal objects in Azure Active Directory上的Azure文档。
我想了解允许用户在Azure AD中注册应用程序的安全隐患。
我找不到任何文档解释谁和谁不应该这样做以及出于什么原因。
更具体地说,用例是让Azure订阅的所有者在Azure DevOps中创建ARM服务连接。这意味着要在Azure AD中注册一个应用程序(用于此服务连接)。
所以我的问题是:是否有充分的理由拒绝Azure订阅的所有者在Azure AD中注册应用程序的权限?
一般的风险或安全考虑是什么?
答案 0 :(得分:0)
只有订阅所有者可以为服务主体(服务连接)定义IAM,仅因为您可以创建它们而没有正确的权限就没有用。
但是.....
如果继续创建具有相似名称的主体(不遵循任何形式的命名转换),您将通过错误的服务主体不必要的访问来接近人为错误。这可能导致潜在的安全事件。
此外,作为管理员,您的目录中将有许多未使用的“垃圾”服务主体。牛仔开发人员的清理工作变得非常困难-要求保留他们。