¿Qué son las identidades administradas de recursos de Azure?

Una dificultad común para los desarrolladores es la administración de los secretos y las credenciales usados para proteger la comunicación entre los distintos componentes que constituyen una solución. Las identidades administradas eliminan la necesidad de que los desarrolladores administren las credenciales. Proporcionan una identidad que usan las aplicaciones al conectarse a recursos que admiten la autenticación de Azure Active Directory (Azure AD). Las aplicaciones pueden usar la identidad administrada para obtener tokens de Azure AD. Por ejemplo, una aplicación puede usar una identidad administrada para acceder a recursos como Azure Key Vault donde los desarrolladores pueden almacenar credenciales de forma segura o tener acceso a cuentas de almacenamiento.

¿Para qué se puede usar una identidad administrada?

Estas son algunas de las ventajas de usar las identidades administradas:

  • No es necesario administrar credenciales. Las credenciales ni siquiera están accesible.
  • Puede usar identidades administradas para autenticarse en cualquier recurso que admita la autenticación de Azure Active Directory, incluidas sus propias aplicaciones.
  • Las identidades administradas se pueden usar sin ningún costo adicional.

Nota

Identidades administradas para recursos de Azure es el nombre con el que ahora se conoce al servicio Managed Service Identity (MSI).

Tipos de identidad administrada

Hay dos tipos de identidades administradas:

  • Asignada por el sistema. Algunos servicios de Azure permiten habilitar una identidad administrada directamente en una instancia de servicio. Cuando se habilita una identidad administrada asignada por el sistema, se crea una identidad en Azure AD que está vinculada al ciclo de vida de esa instancia de servicio. Por tanto, cuando se elimina el recurso, Azure elimina automáticamente la identidad. Por diseño, solo ese recurso de Azure puede usar esta identidad para solicitar tokens de Azure AD.
  • Asignada por el usuario. También es posible crear una identidad administrada como un recurso independiente de Azure. Puede crear una identidad administrada asignada por el usuario y asignarla a una o varias instancias de un servicio de Azure. En el caso de las identidades administradas asignadas por el usuario, la identidad se administra independientemente de los recursos que la utilicen.

En la tabla siguiente, se muestran las diferencias entre los dos tipos de identidades administradas.

Propiedad Identidad administrada asignada por el sistema Identidad administrada asignada por el usuario
Creación Se crea como parte de un recurso de Azure (por ejemplo, una máquina virtual de Azure o Azure App Service) Se crea como un recurso de Azure independiente
Ciclo de vida Se comparte el ciclo de vida con el recurso de Azure con el que se creó la identidad administrada.
Si se elimina el recurso primario, se elimina también la identidad administrada.
Ciclo de vida independiente.
Se debe eliminar explícitamente.
Uso compartido de recursos de Azure No se puede compartir.
Solo se puede asociar con un único recurso de Azure.
Se puede compartir
La misma identidad administrada asignada por el usuario se puede asociar con más de un recurso de Azure.
Casos de uso comunes Cargas de trabajo contenidas en un único recurso de Azure
Cargas de trabajo para las que necesita identidades independientes.
Por ejemplo, una aplicación que se ejecuta en una sola máquina virtual
Cargas de trabajo que se ejecutan en varios recursos y que pueden compartir una única identidad.
Cargas de trabajo que necesitan autorización previa para un recurso seguro como parte de un flujo de aprovisionamiento.
Cargas de trabajo donde los recursos se reciclan con frecuencia, pero los permisos deben permanecer coherentes.
Por ejemplo, una carga de trabajo en la que varias máquinas virtuales tienen que acceder al mismo recurso

Importante

Independientemente del tipo de identidad elegido, una identidad administrada es una entidad de servicio de un tipo especial que solo se puede usar con recursos de Azure. Cuando se elimina la identidad administrada, se quita automáticamente la entidad de servicio correspondiente.

¿Cómo se usan las identidades administradas de Managed Identities for Azure Resources?

Algunos ejemplos de cómo un desarrollador puede usar identidades administradas para obtener acceso a los recursos desde el código, sin tener que administrar la información de autenticación.

¿Qué servicios de Azure admiten la característica?

Las identidades administradas de Managed Identities for Azure Resources se pueden usar para autenticarse en servicios que admiten la autenticación de Azure AD. Para ver una lista de los servicios de Azure que admiten la característica Managed Identities for Azure Resources, consulte Services that support managed identities for Azure resources (Servicios que admiten la característica Managed Identities for Azure Resources).

¿Qué operaciones puedo realizar mediante identidades administradas?

Los recursos que admiten identidades administradas asignadas por el sistema le permiten:

Si en su lugar elige una identidad administrada asignada por el usuario:

Las operaciones sobre identidades administradas se pueden realizar mediante una plantilla de Azure Resource Manager (ARM), Azure Portal, la CLI de Azure, PowerShell y las API REST.

Pasos siguientes