Есть ли в Azure IAM?

Question

Я только что написал свое первое приложение на Azure.Просто небольшое функциональное приложение, вызывающее службу IoT, и вдруг оно поразило меня - мне не нужно было создавать какую-либо роль IAM или что-то в этом роде.Приложение просто работает.Я попытался найти службу IAM в Azure, но ничего не нашел.Это никогда не сработает с AWS или Google Cloud.Есть ли в Azure какое-либо управление в стиле IAM?Если в моем приложении есть ошибка, которая допускает удаленное выполнение кода на стороне сервера, означает ли это, что злоумышленник получит доступ по всей моей учетной записи Azure?

Answer 1

Azure имеет управление доступом на основе ролей и удостоверение управляемой службы (удостоверение, которое вы назначаете службам Azure, еще не у всех служб).Если вы используете строки подключения (обычный шаблон), ничего не произойдет, если ваше приложение будет взломано.Злоумышленник сможет общаться с вашим IoT-концентратором (или чем бы вы ни пользовались).

Если вы используете идентификацию управляемого сервиса, то злоумышленник теоретически может действовать от имени этого идентификатора.Так что, если вы дадите все полномочия этой личности - тогда да.Злоумышленник может делать все что угодно.

Если ваше приложение напрямую обращается к Azure REST Api для создания \ изменения ресурсов и подвергается риску - теоретически злоумышленник будет иметь те же права, что и приложение.

Сказав это, я не думаю, что Azure менее безопасен, чем AWS или GCP.Если вы не предоставите приложению все разрешения в мире - оно не сможет управлять Azure.