回答:
これは、セキュリティを設定できる特定のアカウントをアプリケーションに提供します。通常、プロセスはIISユーザーアカウントとして実行されるため、そのアカウントに関連付けられているすべての特権を持っています。そのアプリケーション専用のアカウントを作成することにより、必要なリソースのみにサービスアカウントに権限を割り当てることができます。これにより、誰かがアプリケーションを悪用する可能性が大幅に減少し、アプリケーションがアクセスすべきではないシステムの一部に悪影響を与える可能性が減少します。
サービスアカウントは、分離と監査の2つの目的で使用されます。
分離を使用すると、サービスに必要な最小限の権限をサービスアカウントに付与できます。これにより、攻撃者がサービスを悪用してローカルシステムにアクセスした場合でも、さらなる攻撃を行う能力が制限されます。攻撃者が問題ではない場合でも、隔離することでバグのあるサービスが他のサービスに影響を与えることを防ぎます。
異なるサービスによって実行されたすべてのアクションは別のユーザーからのものとしてログに記録されるため、監査はサービスアカウントによって支援できます。
これらはサービスアカウントの主な用途ですが、パフォーマンスチューニングなど他にもあります。各サービスを異なるユーザーとして実行すると、既存のユーザーごとのリソース割り当てを使用して、サービスで利用可能なリソースを制御できます。
安全を希望するシステムでは、サービスごとのサービスアカウントを必須のポリシーと見なします。
基本的に:アプリケーションが壊れた場合、アプリケーションが実行できる損害は、そのユーザーが所有または書き込み可能なファイルにのみ限定されます。また、アプリケーションが危険にさらされている場合、同じ制限が、それを介してアクセスできるデータに適用されます。
原則として、ソフトウェアのすべてのアイテムは、必要なリソースにのみアクセスでき、他には何もアクセスできないようにする必要があります。もちろん、単純化と妥協は常にありますが、独自のアカウントでWebアプリを実行することは、これを適用する主要な手段の1つです。