Was sind verwaltete Identitäten für Azure-Ressourcen?
Die Verwaltung von Geheimnissen und Anmeldeinformationen, die zum Absichern der Kommunikation zwischen verschiedenen Komponenten einer Lösung verwendet werden. Dank verwalteter Identitäten müssen Entwickler keine Anmeldeinformationen mehr verwalten.
Verwaltete Identitäten stellen eine Identität bereit, die Anwendungen beim Herstellen einer Verbindung mit Ressourcen verwenden, die Azure Active Directory-Authentifizierung (Azure AD) unterstützen. Anwendungen können die verwaltete Identität verwenden, um Azure AD-Token abzurufen. Mit Azure Key Vault können Entwickler verwaltete Identitäten für den Zugriff auf Ressourcen nutzen. Key Vault speichert Anmeldeinformationen auf sichere Weise und gewährt Zugriff auf Speicherkonten.
Das folgende Video zeigt, wie Sie verwaltete Identitäten verwenden können:
Nachstehend sind einige Vorteile der Verwendung von verwalteten Identitäten beschrieben:
- Sie brauchen keine Anmeldeinformationen zu verwalten. Sie haben nicht einmal Zugriff auf die Anmeldeinformationen.
- Sie können verwaltete Identitäten zur Authentifizierung bei einer beliebigen Ressource verwenden, die Azure AD-Authentifizierung unterstützt. Dies schließt auch Ihre eigenen Anwendungen ein.
- Die Nutzung von verwalteten Identitäten verursacht keine zusätzlichen Kosten.
Hinweis
„Verwaltete Identitäten für Azure-Ressourcen“ ist der neue Name für den Dienst, der früher als „Verwaltete Dienstidentität“ (Managed Service Identity, MSI) bezeichnet wurde.
Arten von verwalteten Identitäten
Es gibt zwei Arten von verwalteten Identitäten:
- Systemseitig zugewiesen: Bei einigen Azure-Diensten können Sie eine verwaltete Identität direkt in einer Dienstinstanz aktivieren. Wenn Sie eine systemseitig zugewiesene verwaltete Identität aktivieren, wird eine Identität in Azure AD erstellt. Die Identität ist an den Lebenszyklus dieser Dienstinstanz gebunden. Azure löscht automatisch die Identität, wenn die Ressource gelöscht wird. Entwurfsbedingt kann nur diese Azure-Ressource diese Identität zum Anfordern von Token von Azure AD verwenden.
- Benutzerseitig zugewiesen: Sie können auch eine verwaltete Identität als eigenständige Azure-Ressource erstellen. Sie können eine benutzerseitig zugewiesene verwaltete Identität erstellen und diese einer oder mehreren Instanzen eines Azure-Diensts zuweisen. Bei benutzerseitig zugewiesenen verwalteten Identitäten wird die Identität getrennt von den Ressourcen verwaltet, für die sie verwendet wird.
Die nachstehende Tabelle verdeutlicht die Unterschiede zwischen den zwei Arten von verwalteten Identitäten:
Eigenschaft | Systemseitig zugewiesene verwaltete Identität | Benutzerseitig zugewiesene verwaltete Identität |
---|---|---|
Erstellung | Als Teil einer Azure-Ressource (z. B. Azure Virtual Machines oder Azure App Service). | Als eigenständige Azure-Ressource. |
Lebenszyklus | Gemeinsamer Lebenszyklus mit der Azure-Ressource, für die die verwaltete Identität erstellt wurde. Wenn die übergeordnete Ressource gelöscht wird, wird auch die verwaltete Identität gelöscht. |
Unabhängiger Lebenszyklus. Muss explizit gelöscht werden. |
Gemeinsame Nutzung durch mehrere Azure-Ressourcen | Kann nicht freigegeben werden. Kann nur einer einzelnen Azure-Ressource zugeordnet werden. |
Gemeinsame Nutzung möglich. Die gleiche benutzerseitig zugewiesene verwaltete Identität kann mehreren Azure-Ressourcen zugeordnet werden. |
Gängige Anwendungsfälle | Workloads innerhalb einer einzelnen Azure-Ressource. Workloads, für die unabhängige Identitäten erforderlich sind. Beispiel: Eine Anwendung, die auf einer einzelnen VM ausgeführt wird. |
Workloads, die auf mehrere Ressourcen ausgeführt werden und eine einzelne Identität gemeinsam nutzen können. Workloads, die im Rahmen eines Bereitstellungsflows vorab für eine sichere Ressource autorisiert werden müssen. Workloads, bei denen Ressourcen häufig recycelt werden, die Berechtigungen aber konsistent bleiben sollen. Beispielsweise eine Workload, bei der mehrere virtuelle Computer auf die gleiche Ressource zugreifen müssen. |
Wichtig
Unabhängig vom gewählten Identitätstyp ist eine verwaltete Identität eine spezielle Art von Dienstprinzipal, der nur mit Azure-Ressourcen verwendet werden kann. Wenn die verwaltete Identität gelöscht wird, wird automatisch auch der entsprechende Dienstprinzipal entfernt.
Wie kann ich verwaltete Identitäten für Azure-Ressourcen verwenden?
Welche Azure-Dienste unterstützen das Feature?
Verwaltete Identitäten für Azure-Ressourcen können zur Authentifizierung bei Diensten verwendet werden, die die Azure AD-Authentifizierung unterstützen. Eine Liste der verwalteten Identitäten finden Sie unter Dienste, die verwaltete Identitäten für Azure-Ressourcen unterstützen.
Welche Vorgänge kann ich mit verwalteten Identitäten ausführen?
Ressourcen, die systemseitig zugewiesene verwaltete Identitäten unterstützen, ermöglichen Folgendes:
- Aktivieren oder Deaktivieren verwalteter Identitäten auf Ressourcenebene
- Verwenden der rollenbasierten Zugriffssteuerung (RBAC) zum Gewähren von Berechtigungen
- Anzeigen von Vorgängen zum Erstellen, Lesen, Aktualisieren und Löschen (CRUD-Vorgänge) in Azure-Aktivitätsprotokollen
- Anzeigen der Anmeldeaktivitäten in Azure AD-Anmeldeprotokollen
Falls Sie stattdessen eine benutzerseitig zugewiesene verwaltete Identität verwenden möchten:
- Sie können die Identitäten erstellen, lesen, aktualisieren und löschen.
- Sie können RBAC-Rollenzuweisungen zum Erteilen von Berechtigungen verwenden.
- Benutzerseitig zugewiesene verwaltete Identitäten können für mehrere Ressourcen verwendet werden.
- CRUD-Vorgänge können in Azure-Aktivitätsprotokollen überprüft werden.
- Zeigen Sie Anmeldeaktivitäten in Azure AD-Anmeldeprotokollen an.
Vorgänge für verwaltete Identitäten können mithilfe einer Azure Resource Manager-Vorlage, über das Azure-Portal, die Azure CLI, PowerShell und REST-APIs ausgeführt werden.
Nächste Schritte
- Use a Windows VM system-assigned managed identity to access Resource Manager (Verwenden der systemseitig zugewiesenen verwalteten Identität einer Windows-VM für den Zugriff auf Resource Manager)
- Use a Linux VM system-assigned managed identity to access Resource Manager (Verwenden der systemseitig zugewiesenen verwalteten Identität einer Linux-VM für den Zugriff auf Resource Manager)
- Verwenden verwalteter Identitäten für App Service und Azure Functions
- Verwenden von verwalteten Identitäten mit Azure Container Instances
- Implementieren verwalteter Identitäten für Microsoft Azure-Ressourcen