¿Qué son las identidades administradas de recursos de Azure?What are managed identities for Azure resources?

Un desafío común para los desarrolladores es la administración de secretos y credenciales para proteger la comunicación entre distintos servicios.A common challenge for developers is the management of secrets and credentials to secure communication between different services. En Azure, las identidades administradas eliminan la necesidad de que los desarrolladores administren credenciales, al proporcionar una identidad para el recurso de Azure en Azure AD y usarla para obtener tokens de Azure Active Directory (Azure AD).On Azure, managed identities eliminate the need for developers having to manage credentials by providing an identity for the Azure resource in Azure AD and using it to obtain Azure Active Directory (Azure AD) tokens. Esto también permite acceder a Azure Key Vault, en donde los desarrolladores pueden almacenar credenciales de forma segura.This also helps accessing Azure Key Vault where developers can store credentials in a secure manner. Las identidades administradas para recursos de Azure solucionan este problema al proporcionar a los servicios de Azure una identidad administrada automáticamente en Azure AD.Managed identities for Azure resources solves this problem by providing Azure services with an automatically managed identity in Azure AD.

¿Para qué se puede usar una identidad administrada?What can a managed identity be used for?

Estas son algunas de las ventajas de usar las identidades administradas:Here are some of the benefits of using Managed identities:

  • No es necesario administrar credenciales.You don't need to manage credentials. Las credenciales ni siquiera están accesible.Credentials are not even accessible to you.
  • Puede usar las identidades administradas para autenticarse en cualquier servicio de Azure que admita la autenticación de Azure AD, como Azure Key Vault.You can use managed identities to authenticate to any Azure service that supports Azure AD authentication including Azure Key Vault.
  • Las identidades administradas se pueden usar sin ningún costo adicional.Managed identities can be used without any additional cost.

Nota

Identidades administradas para recursos de Azure es el nombre con el que ahora se conoce al servicio Managed Service Identity (MSI).Managed identities for Azure resources is the new name for the service formerly known as Managed Service Identity (MSI).

Tipos de identidad administradaManaged identity types

Hay dos tipos de identidades administradas:There are two types of managed identities:

  • Asignada por el sistema. Algunos servicios de Azure permiten habilitar una identidad administrada directamente en una instancia de servicio.System-assigned Some Azure services allow you to enable a managed identity directly on a service instance. Cuando se habilita una identidad administrada asignada por el sistema, se crea una identidad en Azure AD que está vinculada al ciclo de vida de esa instancia de servicio.When you enable a system-assigned managed identity an identity is created in Azure AD that is tied to the lifecycle of that service instance. Por tanto, cuando se elimina el recurso, Azure elimina automáticamente la identidad.So when the resource is deleted, Azure automatically deletes the identity for you. Por diseño, solo ese recurso de Azure puede usar esta identidad para solicitar tokens de Azure AD.By design, only that Azure resource can use this identity to request tokens from Azure AD.

  • Asignada por el usuario. También es posible crear una identidad administrada como un recurso independiente de Azure.User-assigned You may also create a managed identity as a standalone Azure resource. Puede crear una identidad administrada asignada por el usuario y asignarla a una o varias instancias de un servicio de Azure.You can create a user-assigned managed identity and assign it to one or more instances of an Azure service. En el caso de las identidades administradas asignadas por el usuario, la identidad se administra independientemente de los recursos que la utilicen.In the case of user-assigned managed identities, the identity is managed separately from the resources that use it.

En la tabla siguiente, se muestran las diferencias entre los dos tipos de identidades administradas.The table below shows the differences between the two types of managed identities.

PropiedadProperty Identidad administrada asignada por el sistemaSystem-assigned managed identity Identidad administrada asignada por el usuarioUser-assigned managed identity
CreaciónCreation Se crea como parte de un recurso de Azure (por ejemplo, una máquina virtual de Azure o Azure App Service)Created as part of an Azure resource (for example, an Azure virtual machine or Azure App Service) Se crea como un recurso de Azure independienteCreated as a stand-alone Azure resource
Ciclo de vidaLife cycle Se comparte el ciclo de vida con el recurso de Azure con el que se creó la identidad administrada.Shared life cycle with the Azure resource that the managed identity is created with.
Si se elimina el recurso primario, se elimina también la identidad administrada.When the parent resource is deleted, the managed identity is deleted as well.
Ciclo de vida independiente.Independent life cycle.
Se debe eliminar explícitamente.Must be explicitly deleted.
Uso compartido de recursos de AzureSharing across Azure resources No se puede compartir.Cannot be shared.
Solo se puede asociar con un único recurso de Azure.It can only be associated with a single Azure resource.
Se puede compartirCan be shared
La misma identidad administrada asignada por el usuario se puede asociar con más de un recurso de Azure.The same user-assigned managed identity can be associated with more than one Azure resource.
Casos de uso comunesCommon use cases Cargas de trabajo contenidas en un único recurso de AzureWorkloads that are contained within a single Azure resource
Cargas de trabajo para las que necesita identidades independientes.Workloads for which you need independent identities.
Por ejemplo, una aplicación que se ejecuta en una sola máquina virtualFor example, an application that runs on a single virtual machine
Cargas de trabajo que se ejecutan en varios recursos y que pueden compartir una única identidad.Workloads that run on multiple resources and which can share a single identity.
Cargas de trabajo que necesitan autorización previa para un recurso seguro como parte de un flujo de aprovisionamiento.Workloads that need pre-authorization to a secure resource as part of a provisioning flow.
Cargas de trabajo donde los recursos se reciclan con frecuencia, pero los permisos deben permanecer coherentes.Workloads where resources are recycled frequently, but permissions should stay consistent.
Por ejemplo, una carga de trabajo en la que varias máquinas virtuales tienen que acceder al mismo recursoFor example, a workload where multiple virtual machines need to access the same resource

Importante

Independientemente del tipo de identidad elegido, una identidad administrada es una entidad de servicio de un tipo especial que solo se puede usar con recursos de Azure.Regardless of the type of identity chosen a managed identity is a service principal of a special type that may only be used with Azure resources. Cuando se elimina la identidad administrada, se quita automáticamente la entidad de servicio correspondiente.When the managed identity is deleted, the corresponding service principal is automatically removed.

¿Cómo se usan las identidades administradas de Managed Identities for Azure Resources?How can I use managed identities for Azure resources?

Algunos ejemplos de cómo un desarrollador puede usar identidades administradas para obtener acceso a los recursos desde el código, sin tener que administrar la información de autenticación.

¿Qué servicios de Azure admiten la característica?What Azure services support the feature?

Las identidades administradas de Managed Identities for Azure Resources se pueden usar para autenticarse en servicios que admiten la autenticación de Azure AD.Managed identities for Azure resources can be used to authenticate to services that support Azure AD authentication. Para ver una lista de los servicios de Azure que admiten la característica Managed Identities for Azure Resources, consulte Services that support managed identities for Azure resources (Servicios que admiten la característica Managed Identities for Azure Resources).For a list of Azure services that support the managed identities for Azure resources feature, see Services that support managed identities for Azure resources.

Pasos siguientesNext steps