Domande frequenti sulle identità gestite per le risorse di Azure - Azure AD

Le identità gestite per le risorse di Azure sono una funzionalità di Azure Active Directory. Tutti i servizi di Azure che supportano le identità gestite per le risorse di Azure sono soggetti alla sequenza temporale di tali entità. Prima di iniziare, assicurarsi di esaminare lo stato di disponibilità delle identità gestite per la risorsa e i problemi noti.

Nota

Identità gestite per le risorse di Azure è il nuovo nome per il servizio precedentemente noto come identità del servizio gestita.

Amministrazione

Come è possibile trovare le risorse con un'identità gestita?

È possibile trovare l'elenco delle risorse con un'identità gestita assegnata dal sistema usando il comando seguente dell'interfaccia della riga di comando di Azure:

az resource list --query "[?identity.type=='SystemAssigned'].{Name:name,  principalId:identity.principalId}" --output table

Quali autorizzazioni del controllo degli accessi in base al ruolo di Azure sono necessarie per usare un'identità gestita in una risorsa?

  • Identità gestita assegnata dal sistema: Sono necessarie autorizzazioni di scrittura per la risorsa. Ad esempio, per le macchine virtuali occorre Microsoft.Compute/virtualMachines/write. Questa azione è inclusa in ruoli predefiniti specifici della risorsa come Collaboratore Macchina virtuale.
  • Assegnazione di identità gestite assegnate dall'utente alle risorse: sono necessarie autorizzazioni di scrittura sulla risorsa. Ad esempio, per le macchine virtuali occorre Microsoft.Compute/virtualMachines/write. Sarà anche necessaria Microsoft.ManagedIdentity/userAssignedIdentities/*/assign/action un'azione sull'identità assegnata dall'utente. Questa azione è inclusa nel ruolo predefinito Operatore di identità gestita.
  • Gestione delle identità assegnate dall'utente: per creare o eliminare identità gestite assegnate dall'utente, è necessaria l'assegnazione del ruolo Collaboratore identità gestita.
  • Gestione delle assegnazioni di ruolo per le identità gestite: è necessaria l'assegnazione del ruolo Proprietario o Amministratore Accesso utenti sulla risorsa a cui si concede l'accesso. Sarà necessaria l'assegnazione del ruolo Lettore alla risorsa con un'identità assegnata dal sistema o all'identità assegnata dall'utente a cui viene assegnata l'assegnazione di ruolo. Se non si ha accesso in lettura, è possibile eseguire una ricerca in base a "Utente, gruppo o entità servizio" per trovare l'entità servizio di backup dell'identità, anziché eseguire una ricerca in base all'identità gestita durante l'aggiunta dell'assegnazione di ruolo. Altre informazioni sull'assegnazione dei ruoli di Azure.

Ricerca per categorie impedire la creazione di identità gestite assegnate dall'utente?

È possibile evitare agli utenti di creare identità gestite assegnate dall'utente usando Criteri di Azure

  1. Passare al portale di Azure e passare a Criteri.

  2. Scegliere le definizioni

  3. Selezionare + Definizione criteri e immettere le informazioni necessarie.

  4. Nella sezione della regola dei criteri incollare:

    {
      "mode": "All",
      "policyRule": {
        "if": {
          "field": "type",
          "equals": "Microsoft.ManagedIdentity/userAssignedIdentities"
        },
        "then": {
          "effect": "deny"
        }
      },
      "parameters": {}
    }
    
    

Dopo aver creato il criterio, assegnarlo al gruppo di risorse che si vuole usare.

  1. Passare a Gruppi di risorse.
  2. Trovare il gruppo di risorse che si sta usando per il test.
  3. Scegliere Criteri dal menu a sinistra.
  4. Selezionare Assegna criterio
  5. Nella sezione Informazioni di base specificare:
    1. Ambito Il gruppo di risorse che si sta usando per il test
    2. Definizione dei criteri:i criteri creati in precedenza.
  6. Lasciare le impostazioni predefinite per tutte le altre impostazioni e scegliere Rivedi e crea

A questo punto, qualsiasi tentativo di creare un'identità gestita assegnata dall'utente nel gruppo di risorse avrà esito negativo.

Policy violation

Concetti

Le identità gestite hanno un oggetto app di backup?

No. Le identità gestite e Azure AD registrazioni app non sono uguali nella directory.

Registrazioni app due componenti: un oggetto applicazione + un oggetto entità servizio. Le identità gestite per le risorse di Azure hanno solo uno di questi componenti: un oggetto entità servizio.

Le identità gestite non hanno un oggetto applicazione nella directory, ovvero ciò che viene comunemente usato per concedere le autorizzazioni dell'app per Ms Graph. Al contrario, le autorizzazioni di Microsoft Graph per le identità gestite devono essere concesse direttamente all'entità servizio.

Qual è la credenziale associata a un'identità gestita? Quanto tempo è valido e con quale frequenza viene ruotata?

Nota

La modalità di autenticazione delle identità gestite è un dettaglio di implementazione interno soggetto a modifiche senza preavviso.

Le identità gestite usano l'autenticazione basata su certificati. Le credenziali di ogni identità gestita hanno una scadenza di 90 giorni e ne viene eseguito il roll roll dopo 45 giorni.

Quale identità sarà predefinita da IMDS se non si specifica l'identità nella richiesta?

  • Se l'identità gestita assegnata dal sistema è abilitata e non viene specificata alcuna identità nella richiesta, il servizio metadati dell'istanza di Azure (IMDS) per impostazione predefinita è l'identità gestita assegnata dal sistema.
  • Se l'identità gestita assegnata dal sistema non è abilitata ed esiste una sola identità gestita assegnata dall'utente, per impostazione predefinita IMDS viene assegnata a tale identità gestita assegnata dall'utente.
  • Se l'identità gestita assegnata dal sistema non è abilitata ed esistono più identità gestite assegnate dall'utente, è necessario specificare un'identità gestita nella richiesta.

Limitazioni

È possibile usare la stessa identità gestita in più aree?

In breve, sì, è possibile usare le identità gestite assegnate dall'utente in più aree di Azure. La risposta più lunga è che, mentre le identità gestite assegnate dall'utente vengono create come risorse a livello di regione, l'entità servizio (SP) associata creata in Azure AD è disponibile a livello globale. L'entità servizio può essere usata da qualsiasi area di Azure e la relativa disponibilità dipende dalla disponibilità Azure AD. Ad esempio, se è stata creata un'identità gestita assegnata dall'utente nell'area South-Central e tale area non è più disponibile, questo problema influisce solo sulle attività del piano di controllo sull'identità gestita stessa. Le attività eseguite da tutte le risorse già configurate per l'uso delle identità gestite non saranno influenzate.

Le identità gestite per le risorse di Azure funzionano con i Servizi cloud di Azure?

No, non sono previste iniziative per supportare le identità gestite per le risorse di Azure nei Servizi cloud di Azure.

Cosa si intende per limite di sicurezza delle identità gestite per le risorse di Azure?

Il limite di sicurezza dell'identità è la risorsa a cui è collegata. Ad esempio, il limite di sicurezza per una macchina virtuale con le identità gestite per le risorse di Azure abilitate è la macchina virtuale. Qualsiasi codice in esecuzione su quella macchina virtuale può chiamare l'endpoint delle identità gestite per le risorse di Azure e richiedere i token. L'esperienza è simile a quella con altre risorse che supportano le identità gestite per le risorse di Azure.

Le identità gestite saranno ricreate automaticamente se si sposta una sottoscrizione in un'altra directory?

No. Se si sposta una sottoscrizione in un'altra directory, è necessario crearla manualmente e concedere nuovamente le assegnazioni di ruolo di Azure.

  • Per le identità gestite assegnate dal sistema: disabilitare e abilitare di nuovo.
  • Per le identità gestite assegnate dall'utente: eliminare, ricreare e collegare nuovamente alle risorse necessarie (ad esempio macchine virtuali)

È possibile usare un'identità gestita per accedere a risorse in tenant/directory diversi?

No. Le identità gestite attualmente non supportano gli scenari tra directory.

Sono previsti limiti di frequenza che si applicano alle identità gestite?

I limiti delle identità gestite hanno dipendenze dai limiti dei servizi di Azure, dal servizio metadati dell'istanza di Azure (IMDS) e dai limiti Azure Active Directory servizio.

  • I limiti dei servizi di Azure definiscono il numero di operazioni di creazione che possono essere eseguite a livello di tenant e sottoscrizione. Anche le identità gestite assegnate dall'utente presentano limitazioni relative al modo in cui possono essere denominate.
  • IMDS In generale, le richieste a IMDS sono limitate a cinque richieste al secondo. Le richieste che superano questa soglia verranno rifiutate con 429 risposte. Le richieste alla categoria identità gestita sono limitate a 20 richieste al secondo e 5 richieste simultanee. Per altre informazioni, vedere l'articolo Servizio metadati dell'istanza di Azure (Windows).
  • Azure Active Directory servizio Ogni identità gestita viene conteggiato per il limite di quota di oggetti in un tenant Azure AD, come descritto in Limiti e restrizioni del servizio Azure AD.

È possibile spostare un'identità gestita assegnata dall'utente in un gruppo di risorse/sottoscrizione diverso?

Lo spostamento di un'identità gestita assegnata dall'utente in un gruppo di risorse diverso non è supportato.

I token vengono memorizzati nella cache dopo che sono stati rilasciati per un'identità gestita?

I token di identità gestita vengono memorizzati nella cache dall'infrastruttura di Azure sottostante per motivi di prestazioni e resilienza: i servizi back-end per le identità gestite mantengono una cache per ogni URI di risorsa per circa 24 ore. Ciò significa che, ad esempio, possono essere necessarie diverse ore per l'applicazione delle modifiche alle autorizzazioni di un'identità gestita. Attualmente non è possibile forzare l'aggiornamento del token di un'identità gestita prima della scadenza. Per altre informazioni, vedere Limitazione dell'uso delle identità gestite per l'autorizzazione.

Passaggi successivi