Que sont les identités managées pour les ressources Azure ?

La gestion des secrets et des informations d'identification utilisés pour sécuriser la communication entre les différents composants d'une solution constitue un défi courant pour les développeurs. Les identités managées permettent aux développeurs de ne plus avoir à gérer les informations d'identification. Les identités managées fournissent une identité utilisée par les applications lorsqu'elles se connectent à des ressources qui prennent en charge l'authentification Azure Active Directory (Azure AD). Les applications peuvent utiliser l'identité managée pour obtenir des jetons Azure AD. Par exemple, une application peut utiliser une identité managée pour accéder à des ressources comme Azure Key Vault où les développeurs peuvent stocker des informations d'identification de manière sécurisée, ou pour accéder à des comptes de stockage.

Découvrez comment utiliser des identités managées

Voici quelques-uns des avantages de l’utilisation des identités managées :

  • Vous n’avez pas besoin de gérer les informations d’identification. Vous n’avez même pas accès à ces dernières.
  • Vous pouvez utiliser des identités managées pour vous authentifier auprès de ressources qui prennent en charge l'authentification Azure Active Directory, y compris vos propres applications.
  • Les identités managées peuvent être utilisées sans coût supplémentaire.

Notes

Identités managées pour les ressources Azure est le nouveau nom du service anciennement nommé Managed Service Identity (MSI).

Types d’identités managées

Il existe deux types d’identités administrées :

  • Affectation par le système Certains services Azure vous permettent d’activer une identité managée directement sur une instance de service. Quand vous activez une identité managée affectée par le système, une identité est créée dans Azure AD qui est liée au cycle de vie de cette instance de service. Ainsi, quand la ressource est supprimée, Azure supprime automatiquement l’identité. Par défaut, seule cette ressource Azure peut utiliser cette identité pour demander des jetons à Azure AD.
  • Affectation par l’utilisateur Vous pouvez également créer une identité managée en tant que ressource Azure autonome. Vous pouvez créer une identité managée affectée par l’utilisateur et l’attribuer à une ou plusieurs instances d’un service Azure. Une identité managée affectée par l’utilisateur est gérée séparément des ressources qui l’utilisent.

Le tableau ci-dessous montre les différences entre les deux types d’identités managées.

Propriété Identité managée affectée par le système Identité managée affectée par l’utilisateur
Création Créé dans le cadre d’une ressource Azure (par exemple, une machine virtuelle Azure ou Azure App Service) Créé en tant que ressource Azure autonome
Cycle de vie Cycle de vie partagé entre la ressource Azure et l’identité managée avec laquelle elle est créée.
Lorsque la ressource parente est supprimée, l’identité managée l’est également.
Cycle de vie indépendant.
Doit être explicitement supprimé.
Partage entre ressources Azure Ne peut pas être partagé.
Ne peut être associé qu’à une seule ressource Azure.
Peut être partagé
Une même identité managée affectée par l’utilisateur peut être associée à plusieurs ressources Azure.
Cas d’utilisation courants Charges de travail contenues dans une même ressource Azure
Charges de travail pour lesquelles vous avez besoin d’identités indépendantes.
Par exemple, une application qui s’exécute sur une seule machine virtuelle
Charges de travail qui s’exécutent sur plusieurs ressources et qui peuvent partager une même identité.
Charges de travail qui ont besoin d’une autorisation préalable pour accéder à une ressource sécurisée dans le cadre d’un flux de provisionnement.
Charges de travail dont les ressources sont recyclées fréquemment, mais pour lesquelles les autorisations doivent rester les mêmes.
Par exemple, une charge de travail où plusieurs machines virtuelles doivent accéder à la même ressource

Important

Quel que soit le type d’identité choisi, une identité managée est un principal de service d’un type spécial qui ne peut être utilisé qu’avec des ressources Azure. Lorsqu’une identité managée est supprimée, le principal de service correspondant est automatiquement supprimé.

Comment puis-je utiliser des identités managées pour les ressources Azure ?

Quelques exemples de la façon dont un développeur peut utiliser des identités managées pour accéder aux ressources à partir de son code sans gérer les informations d’authentification

Quels sont les services Azure qui prennent en charge la fonctionnalité ?

Les identités managées pour les ressources Azure peuvent servir à l’authentification auprès des services prenant en charge l’authentification Azure AD. Pour obtenir la liste des services Azure qui prennent en charge la fonctionnalité d’identités managées pour les ressources Azure, consultez Services qui prennent en charge les identités managées pour les ressources Azure.

Quelles opérations puis-je effectuer à l’aide des identités managées ?

Les ressources qui prennent en charge les identités managées affectées par le système vous permettent d’effectuer les opérations suivantes :

Si vous choisissez une identité managée affectée par l’utilisateur à la place :

Les opérations sur les identités managées peuvent être effectuées en utilisant un modèle Azure Resource Manager (ARM), le portail Azure, l’interface Azure CLI, PowerShell et des API REST.

Étapes suivantes