Informazioni sulle identità gestite per le risorse di AzureWhat are managed identities for Azure resources?

Uno dei problemi a cui devono far fronte gli sviluppatori riguarda la gestione di segreti e credenziali per proteggere le comunicazioni tra servizi diversi.A common challenge for developers is the management of secrets and credentials to secure communication between different services. In Azure le identità gestite eliminano la necessità di gestire le credenziali fornendo un'identità per la risorsa di Azure in Azure AD che è possibile usare per ottenere i token di Azure Active Directory (Azure AD).On Azure, managed identities eliminate the need for developers having to manage credentials by providing an identity for the Azure resource in Azure AD and using it to obtain Azure Active Directory (Azure AD) tokens. Ciò consente anche di accedere ad Azure Key Vault, in cui gli sviluppatori possono archiviare le credenziali in modo sicuro.This also helps accessing Azure Key Vault where developers can store credentials in a secure manner. Le identità gestite per le risorse di Azure risolvono questo problema fornendo servizi di Azure con un'identità gestita automaticamente in Azure AD.Managed identities for Azure resources solves this problem by providing Azure services with an automatically managed identity in Azure AD.

In quali casi è possibile usare un'identità gestita?What can a managed identity be used for?

Ecco alcuni vantaggi derivanti dall'uso delle identità gestite:Here are some of the benefits of using Managed identities:

  • Non è necessario gestire le credenziali.You don't need to manage credentials. Le credenziali non sono neanche accessibili.Credentials are not even accessible to you.
  • È possibile usare le identità gestite per eseguire l'autenticazione con qualsiasi servizio di Azure che supporti l'autenticazione di Azure AD, incluso Azure Key Vault.You can use managed identities to authenticate to any Azure service that supports Azure AD authentication including Azure Key Vault.
  • Le identità gestite possono essere usate senza costi aggiuntivi.Managed identities can be used without any additional cost.

Nota

Identità gestite per le risorse di Azure è il nuovo nome per il servizio precedentemente noto come identità del servizio gestita.Managed identities for Azure resources is the new name for the service formerly known as Managed Service Identity (MSI).

Tipi di identità gestitaManaged identity types

Sono disponibili due tipi di identità gestite:There are two types of managed identities:

  • Assegnata dal sistema Alcuni servizi di Azure consentono di abilitare un'identità gestita direttamente in un'istanza del servizio.System-assigned Some Azure services allow you to enable a managed identity directly on a service instance. Quando si abilita un'identità gestita assegnata dal sistema, viene creata un'identità in Azure AD associata al ciclo di vita di quell'istanza del servizio.When you enable a system-assigned managed identity an identity is created in Azure AD that is tied to the lifecycle of that service instance. Quindi quando la risorsa viene eliminata, Azure elimina automaticamente anche l'identità.So when the resource is deleted, Azure automatically deletes the identity for you. Per impostazione predefinita, solo questa specifica risorsa di Azure può usare questa identità per richiedere token ad Azure AD.By design, only that Azure resource can use this identity to request tokens from Azure AD.

  • Assegnata dall'utente È anche possibile creare un'identità gestita come risorsa di Azure autonoma.User-assigned You may also create a managed identity as a standalone Azure resource. È possibile creare un'identità gestita assegnata dall'utente e assegnarla a una o più istanze di un servizio di Azure.You can create a user-assigned managed identity and assign it to one or more instances of an Azure service. Le identità gestite assegnate dall'utente vengono gestite separatamente rispetto alle risorse che le usano.In the case of user-assigned managed identities, the identity is managed separately from the resources that use it.

La tabella seguente illustra le differenze tra i due tipi di identità gestite.The table below shows the differences between the two types of managed identities.

ProprietàProperty Identità gestita assegnata dal sistemaSystem-assigned managed identity Identità gestita assegnata dall'utenteUser-assigned managed identity
CreazioneCreation Creata come parte di una risorsa di Azure (ad esempio, una macchina virtuale di Azure o servizio App di Azure)Created as part of an Azure resource (for example, an Azure virtual machine or Azure App Service) Creata come risorsa di Azure autonomaCreated as a stand-alone Azure resource
Ciclo di vitaLife cycle Ciclo di vita condiviso con la risorsa di Azure con cui viene creata l'identità gestita.Shared life cycle with the Azure resource that the managed identity is created with.
Quando viene eliminata la risorsa padre, viene eliminata anche l'identità gestita.When the parent resource is deleted, the managed identity is deleted as well.
Ciclo di vita indipendente.Independent life cycle.
Dev'essere eliminato in modo esplicito.Must be explicitly deleted.
Condivisione tra risorse di AzureSharing across Azure resources Non può essere condivisa.Cannot be shared.
Può essere associata solo a una singola risorsa di Azure.It can only be associated with a single Azure resource.
Può essere condivisaCan be shared
La stessa identità gestita assegnata dall'utente può essere associata a più risorse di Azure.The same user-assigned managed identity can be associated with more than one Azure resource.
Casi d'uso comuniCommon use cases Carichi di lavoro che sono contenuti all'interno di una singola risorsa di AzureWorkloads that are contained within a single Azure resource
Carichi di lavoro per cui sono necessarie identità indipendenti.Workloads for which you need independent identities.
Ad esempio, un'applicazione che viene eseguita in una singola macchina virtualeFor example, an application that runs on a single virtual machine
Carichi di lavoro che vengono eseguiti in più risorse e che possono condividere una singola identità.Workloads that run on multiple resources and which can share a single identity.
Carichi di lavoro che richiedono l'autorizzazione preliminare per una risorsa protetta come parte di un flusso di provisioning.Workloads that need pre-authorization to a secure resource as part of a provisioning flow.
Carichi di lavoro in cui le risorse vengono riciclate frequentemente, ma le autorizzazioni devono rimanere coerenti.Workloads where resources are recycled frequently, but permissions should stay consistent.
Ad esempio, un carico di lavoro in cui più macchine virtuali devono accedere alla stessa risorsaFor example, a workload where multiple virtual machines need to access the same resource

Importante

Indipendentemente dal tipo di identità scelto, un'identità gestita è un'entità servizio di un tipo speciale che è possibile usare solo con le risorse di Azure.Regardless of the type of identity chosen a managed identity is a service principal of a special type that may only be used with Azure resources. Quando l'identità gestita viene eliminata, l'entità servizio corrispondente viene automaticamente rimossa.When the managed identity is deleted, the corresponding service principal is automatically removed.

Come usare le identità gestite per le risorse di AzureHow can I use managed identities for Azure resources?

Ecco alcuni esempi di come uno sviluppatore può usare le identità gestite per ottenere l'accesso a risorse dal codice senza gestire le informazioni sull'autenticazione

Servizi di Azure che supportano questa funzionalitàWhat Azure services support the feature?

Le identità gestite per le risorse di Azure possono essere usate per eseguire l'autenticazione ai servizi che supportano l'autenticazione di Azure AD.Managed identities for Azure resources can be used to authenticate to services that support Azure AD authentication. Per un elenco dei servizi di Azure che supportano la funzionalità delle identità gestite per le risorse di Azure, vedere Servizi che supportano le identità gestite per le risorse di Azure.For a list of Azure services that support the managed identities for Azure resources feature, see Services that support managed identities for Azure resources.

Passaggi successiviNext steps