我正在这里和这里了解一些与Key Vault相关的最佳实践。 这是密钥保管库概述。
MSFT 明确表示“我们的建议是为每个环境(开发、预生产和生产)、每个区域的每个应用程序使用一个保管库。粒度隔离可以帮助您避免跨应用程序、环境和区域共享机密,并且还可以减少威胁:有一个缺口。”
但是,它没有说“在多少个资源组中”。是否可以将所有单独的密钥保管库保存在一个资源组中?
也就是说,如果我采用一个订阅和一个资源组,并在该资源中为不同订阅中的 100 个应用程序创建多个密钥保管库(假设为 100 个)(使用集中式方法),这会是一种可行且最佳的架构解决方案吗?
或
最好采用分布式方式,而不是集中式方式。也就是说,在部署应用程序的资源组中 - 也可用于 Key Vault 的同一资源组..?
Azure Key Vault 设计的最佳方法应该是什么? 我没有找到任何与采用集中式方法的最佳方法相关的 MSFT 文档。
请告诉我,最好的前进方式是什么?希望我的解释能被理解。谢谢。
Azure Key Vault 设计的最佳方法应该是什么?
当涉及到是否将它们全部放在同一个资源组中的问题时,没有最佳方法或最佳实践。
也就是说,问自己一个问题:将它们全部放在同一个资源组中有什么好处。更好的安全性?比较容易找到资源?更容易部署?我看不到很多。
相反,我喜欢将它们视为我的应用程序基础设施的一部分,因此它们是使用 bicep 与应用程序运行所需的所有其他天蓝色资源一起部署的。我不喜欢将应用程序特定的资源部署到用于多个应用程序的资源组。使破坏变得更容易,并使在完整模式下部署二头肌模板变得更加困难。
您还需要考虑授予资源组级别或单个密钥保管库实例的权限。