Was sind verwaltete Identitäten für Azure-Ressourcen?

Die Verwaltung von Geheimnissen und Anmeldeinformationen, die zum Absichern der Kommunikation zwischen verschiedenen Komponenten einer Lösung verwendet werden. Dank verwalteter Identitäten müssen Entwickler keine Anmeldeinformationen mehr verwalten.

Verwaltete Identitäten stellen eine Identität bereit, die Anwendungen beim Herstellen einer Verbindung mit Ressourcen verwenden, die Azure Active Directory-Authentifizierung (Azure AD) unterstützen. Anwendungen können die verwaltete Identität verwenden, um Azure AD-Token abzurufen. Mit Azure Key Vault können Entwickler verwaltete Identitäten für den Zugriff auf Ressourcen nutzen. Key Vault speichert Anmeldeinformationen auf sichere Weise und gewährt Zugriff auf Speicherkonten.

Das folgende Video zeigt, wie Sie verwaltete Identitäten verwenden können:

Nachstehend sind einige Vorteile der Verwendung von verwalteten Identitäten beschrieben:

  • Sie brauchen keine Anmeldeinformationen zu verwalten. Sie haben nicht einmal Zugriff auf die Anmeldeinformationen.
  • Sie können verwaltete Identitäten zur Authentifizierung bei einer beliebigen Ressource verwenden, die Azure AD-Authentifizierung unterstützt. Dies schließt auch Ihre eigenen Anwendungen ein.
  • Die Nutzung von verwalteten Identitäten verursacht keine zusätzlichen Kosten.

Hinweis

„Verwaltete Identitäten für Azure-Ressourcen“ ist der neue Name für den Dienst, der früher als „Verwaltete Dienstidentität“ (Managed Service Identity, MSI) bezeichnet wurde.

Arten von verwalteten Identitäten

Es gibt zwei Arten von verwalteten Identitäten:

  • Systemseitig zugewiesen: Bei einigen Azure-Diensten können Sie eine verwaltete Identität direkt in einer Dienstinstanz aktivieren. Wenn Sie eine systemseitig zugewiesene verwaltete Identität aktivieren, wird eine Identität in Azure AD erstellt. Die Identität ist an den Lebenszyklus dieser Dienstinstanz gebunden. Azure löscht automatisch die Identität, wenn die Ressource gelöscht wird. Entwurfsbedingt kann nur diese Azure-Ressource diese Identität zum Anfordern von Token von Azure AD verwenden.
  • Benutzerseitig zugewiesen: Sie können auch eine verwaltete Identität als eigenständige Azure-Ressource erstellen. Sie können eine benutzerseitig zugewiesene verwaltete Identität erstellen und diese einer oder mehreren Instanzen eines Azure-Diensts zuweisen. Bei benutzerseitig zugewiesenen verwalteten Identitäten wird die Identität getrennt von den Ressourcen verwaltet, für die sie verwendet wird.

Die nachstehende Tabelle verdeutlicht die Unterschiede zwischen den zwei Arten von verwalteten Identitäten:

Eigenschaft Systemseitig zugewiesene verwaltete Identität Benutzerseitig zugewiesene verwaltete Identität
Erstellung Als Teil einer Azure-Ressource (z. B. Azure Virtual Machines oder Azure App Service). Als eigenständige Azure-Ressource.
Lebenszyklus Gemeinsamer Lebenszyklus mit der Azure-Ressource, für die die verwaltete Identität erstellt wurde.
Wenn die übergeordnete Ressource gelöscht wird, wird auch die verwaltete Identität gelöscht.
Unabhängiger Lebenszyklus.
Muss explizit gelöscht werden.
Gemeinsame Nutzung durch mehrere Azure-Ressourcen Kann nicht freigegeben werden.
Kann nur einer einzelnen Azure-Ressource zugeordnet werden.
Gemeinsame Nutzung möglich.
Die gleiche benutzerseitig zugewiesene verwaltete Identität kann mehreren Azure-Ressourcen zugeordnet werden.
Gängige Anwendungsfälle Workloads innerhalb einer einzelnen Azure-Ressource.
Workloads, für die unabhängige Identitäten erforderlich sind.
Beispiel: Eine Anwendung, die auf einer einzelnen VM ausgeführt wird.
Workloads, die auf mehrere Ressourcen ausgeführt werden und eine einzelne Identität gemeinsam nutzen können.
Workloads, die im Rahmen eines Bereitstellungsflows vorab für eine sichere Ressource autorisiert werden müssen.
Workloads, bei denen Ressourcen häufig recycelt werden, die Berechtigungen aber konsistent bleiben sollen.
Beispielsweise eine Workload, bei der mehrere virtuelle Computer auf die gleiche Ressource zugreifen müssen.

Wichtig

Unabhängig vom gewählten Identitätstyp ist eine verwaltete Identität eine spezielle Art von Dienstprinzipal, der nur mit Azure-Ressourcen verwendet werden kann. Wenn die verwaltete Identität gelöscht wird, wird automatisch auch der entsprechende Dienstprinzipal entfernt.


Wie kann ich verwaltete Identitäten für Azure-Ressourcen verwenden?

This flowchart shows examples of how a developer may use managed identities to get access to resources from their code without managing authentication information.

Welche Azure-Dienste unterstützen das Feature?

Verwaltete Identitäten für Azure-Ressourcen können zur Authentifizierung bei Diensten verwendet werden, die die Azure AD-Authentifizierung unterstützen. Eine Liste der verwalteten Identitäten finden Sie unter Dienste, die verwaltete Identitäten für Azure-Ressourcen unterstützen.

Welche Vorgänge kann ich mit verwalteten Identitäten ausführen?

Ressourcen, die systemseitig zugewiesene verwaltete Identitäten unterstützen, ermöglichen Folgendes:

Falls Sie stattdessen eine benutzerseitig zugewiesene verwaltete Identität verwenden möchten:

Vorgänge für verwaltete Identitäten können mithilfe einer Azure Resource Manager-Vorlage, über das Azure-Portal, die Azure CLI, PowerShell und REST-APIs ausgeführt werden.

Nächste Schritte