Was sind verwaltete Identitäten für Azure-Ressourcen?What are managed identities for Azure resources?

Die Verwaltung von Geheimnissen und Anmeldeinformationen für eine sichere Kommunikation zwischen verschiedenen Diensten stellt für Entwickler eine häufige Herausforderung dar.A common challenge for developers is the management of secrets and credentials to secure communication between different services. In Azure brauchen Entwickler dank verwalteter Identitäten keine Anmeldeinformationen mehr zu verwalten. Für die Azure-Ressource in Azure AD wird eine Identität bereitgestellt, mit der Azure Active Directory (Azure AD)-Token abgerufen werden.On Azure, managed identities eliminate the need for developers having to manage credentials by providing an identity for the Azure resource in Azure AD and using it to obtain Azure Active Directory (Azure AD) tokens. Das erleichtert auch den Zugriff auf Azure Key Vault. In diesem Schlüsseltresor können Entwickler Anmeldeinformationen auf sichere Art und Weise speichern.This also helps accessing Azure Key Vault where developers can store credentials in a secure manner. Verwaltete Identitäten für Azure-Ressourcen sorgen für eine Lösung des Problems, indem für Azure-Dienste eine automatisch verwaltete Identität in Azure AD bereitgestellt wird.Managed identities for Azure resources solves this problem by providing Azure services with an automatically managed identity in Azure AD.

Wofür kann eine verwaltete Identität verwendet werden?What can a managed identity be used for?

Nachstehend sind einige Vorteile der Verwendung von verwalteten Identitäten beschrieben:Here are some of the benefits of using Managed identities:

  • Sie brauchen keine Anmeldeinformationen zu verwalten.You don't need to manage credentials. Sie haben nicht einmal Zugriff auf die Anmeldeinformationen.Credentials are not even accessible to you.
  • Mit verwalteten Identitäten kann die Authentifizierung bei jedem Azure-Dienst erfolgen, der die Azure AD-Authentifizierung (einschließlich Azure Key Vault) unterstützt.You can use managed identities to authenticate to any Azure service that supports Azure AD authentication including Azure Key Vault.
  • Die Nutzung von verwalteten Identitäten verursacht keine zusätzlichen Kosten.Managed identities can be used without any additional cost.

Hinweis

„Verwaltete Identitäten für Azure-Ressourcen“ ist der neue Name für den Dienst, der früher als „Verwaltete Dienstidentität“ (Managed Service Identity, MSI) bezeichnet wurde.Managed identities for Azure resources is the new name for the service formerly known as Managed Service Identity (MSI).

Arten von verwalteten IdentitätenManaged identity types

Es gibt zwei Arten von verwalteten Identitäten:There are two types of managed identities:

  • Systemseitig zugewiesen: Bei einigen Azure-Diensten können Sie eine verwaltete Identität direkt in einer Dienstinstanz aktivieren.System-assigned Some Azure services allow you to enable a managed identity directly on a service instance. Wenn Sie eine systemseitig zugewiesene verwaltete Identität aktivieren, wird in Azure AD eine Identität erstellt, die an den Lebenszyklus der jeweiligen Dienstinstanz gebunden ist.When you enable a system-assigned managed identity an identity is created in Azure AD that is tied to the lifecycle of that service instance. Daher löscht Azure automatisch die Identität, wenn die Ressource gelöscht wird.So when the resource is deleted, Azure automatically deletes the identity for you. Entwurfsbedingt kann nur diese Azure-Ressource diese Identität zum Anfordern von Token von Azure AD verwenden.By design, only that Azure resource can use this identity to request tokens from Azure AD.

  • Benutzerseitig zugewiesen: Sie können eine verwaltete Identität auch als eigenständige Azure-Ressource erstellen.User-assigned You may also create a managed identity as a standalone Azure resource. Sie können eine benutzerseitig zugewiesene verwaltete Identität erstellen und diese einer oder mehreren Instanzen eines Azure-Diensts zuweisen.You can create a user-assigned managed identity and assign it to one or more instances of an Azure service. Bei benutzerseitig zugewiesenen verwalteten Identitäten wird die Identität getrennt von den Ressourcen verwaltet, für die sie verwendet wird.In the case of user-assigned managed identities, the identity is managed separately from the resources that use it.

Die nachstehende Tabelle verdeutlicht die Unterschiede zwischen den beiden Arten von verwalteten Identitäten.The table below shows the differences between the two types of managed identities.

EigenschaftProperty Systemseitig zugewiesene verwaltete IdentitätSystem-assigned managed identity Benutzerseitig zugewiesene verwaltete IdentitätUser-assigned managed identity
ErstellungCreation Als Teil einer Azure-Ressource (etwa eines virtuellen Azure-Computers oder einer Azure App Service-Instanz)Created as part of an Azure resource (for example, an Azure virtual machine or Azure App Service) Als eigenständige Azure-RessourceCreated as a stand-alone Azure resource
LebenszyklusLife cycle Gemeinsamer Lebenszyklus mit der Azure-Ressource, für die die verwaltete Identität erstellt wurde.Shared life cycle with the Azure resource that the managed identity is created with.
Wenn die übergeordnete Ressource gelöscht wird, wird auch die verwaltete Identität gelöscht.When the parent resource is deleted, the managed identity is deleted as well.
Unabhängiger Lebenszyklus.Independent life cycle.
Muss explizit gelöscht werden.Must be explicitly deleted.
Gemeinsame Nutzung durch mehrere Azure-RessourcenSharing across Azure resources Keine gemeinsame Nutzung möglich.Cannot be shared.
Kann nur einer einzelnen Azure-Ressource zugeordnet werden.It can only be associated with a single Azure resource.
Gemeinsame Nutzung möglich.Can be shared
Die gleiche benutzerseitig zugewiesene verwaltete Identität kann mehreren Azure-Ressourcen zugeordnet werden.The same user-assigned managed identity can be associated with more than one Azure resource.
Gängige AnwendungsfälleCommon use cases Workloads innerhalb einer einzelnen Azure-Ressource.Workloads that are contained within a single Azure resource
Workloads, für die unabhängige Identitäten erforderlich sind.Workloads for which you need independent identities.
Beispielsweise eine Anwendung, die auf einem einzelnen virtuellen Computer ausgeführt wird.For example, an application that runs on a single virtual machine
Workloads, die auf mehrere Ressourcen ausgeführt werden und sich eine einzelne Identität teilen können.Workloads that run on multiple resources and which can share a single identity.
Workloads, die im Rahmen eines Bereitstellungsablaufs vorab für eine sichere Ressource autorisiert werden müssen.Workloads that need pre-authorization to a secure resource as part of a provisioning flow.
Workloads, bei denen Ressourcen häufig recycelt werden, die Berechtigungen aber konsistent bleiben sollen.Workloads where resources are recycled frequently, but permissions should stay consistent.
Beispielsweise eine Workload, bei der mehrere virtuelle Computer auf die gleiche Ressource zugreifen müssen.For example, a workload where multiple virtual machines need to access the same resource

Wichtig

Ungeachtet der ausgewählten Identitätsart ist eine verwaltete Identität ein Dienstprinzipal der besonderen Art, der nur zusammen mit Azure-Ressourcen verwendet werden kann.Regardless of the type of identity chosen a managed identity is a service principal of a special type that may only be used with Azure resources. Wenn die verwaltete Identität gelöscht wird, wird automatisch auch der entsprechende Dienstprinzipal entfernt.When the managed identity is deleted, the corresponding service principal is automatically removed.

Wie kann ich verwaltete Identitäten für Azure-Ressourcen verwenden?How can I use managed identities for Azure resources?

Einige Beispiele für die Verwendung von verwalteten Identitäten durch Entwickler für den Zugriff auf Ressourcen über deren Code ohne Verwaltung von Authentifizierungsinformationen

Welche Azure-Dienste unterstützen das Feature?What Azure services support the feature?

Verwaltete Identitäten für Azure-Ressourcen können zur Authentifizierung bei Diensten verwendet werden, die die Azure AD-Authentifizierung unterstützen.Managed identities for Azure resources can be used to authenticate to services that support Azure AD authentication. Eine Liste der Azure-Dienste, die die Funktion für verwaltete Identitäten für Azure-Ressourcen unterstützen, finden Sie unter Services that support managed identities for Azure resources (Dienste, die verwaltete Identitäten für Azure-Ressourcen unterstützen).For a list of Azure services that support the managed identities for Azure resources feature, see Services that support managed identities for Azure resources.

Nächste SchritteNext steps