Informazioni sulle identità gestite per le risorse di Azure

Una sfida comune per gli sviluppatori è la gestione dei segreti e delle credenziali usati per proteggere la comunicazione tra componenti diversi che fanno parte di una soluzione. Le identità gestite eliminano la necessità per gli sviluppatori di gestire le credenziali. Le identità gestite forniscono un'identità che le applicazioni possono usare per la connessione alle risorse che supportano l'autenticazione Azure Active Directory (Azure AD). Le applicazioni possono usare l'identità gestita per ottenere Azure AD token. Ad esempio, un'applicazione può usare un'identità gestita per accedere a risorse come Azure Key Vault in cui gli sviluppatori possono archiviare le credenziali in modo sicuro o accedere agli account di archiviazione.

Esaminare come usare le identità gestite

Ecco alcuni vantaggi derivanti dall'uso delle identità gestite:

  • Non è necessario gestire le credenziali. Le credenziali non sono neanche accessibili.
  • È possibile usare le identità gestite per eseguire l'autenticazione a qualsiasi risorsa che Azure Active Directory'autenticazione, incluse le proprie applicazioni.
  • Le identità gestite possono essere usate senza costi aggiuntivi.

Nota

Identità gestite per le risorse di Azure è il nuovo nome per il servizio precedentemente noto come identità del servizio gestita.

Tipi di identità gestita

Sono disponibili due tipi di identità gestite:

  • Assegnata dal sistema Alcuni servizi di Azure consentono di abilitare un'identità gestita direttamente in un'istanza del servizio. Quando si abilita un'identità gestita assegnata dal sistema, viene creata un'identità in Azure AD associata al ciclo di vita di quell'istanza del servizio. Quindi quando la risorsa viene eliminata, Azure elimina automaticamente anche l'identità. Per impostazione predefinita, solo questa specifica risorsa di Azure può usare questa identità per richiedere token ad Azure AD.
  • Assegnata dall'utente È anche possibile creare un'identità gestita come risorsa di Azure autonoma. È possibile creare un'identità gestita assegnata dall'utente e assegnarla a una o più istanze di un servizio di Azure. Le identità gestite assegnate dall'utente vengono gestite separatamente rispetto alle risorse che le usano.

La tabella seguente illustra le differenze tra i due tipi di identità gestite.

Proprietà Identità gestita assegnata dal sistema Identità gestita assegnata dall'utente
Creazione Creata come parte di una risorsa di Azure (ad esempio, una macchina virtuale di Azure o servizio App di Azure) Creata come risorsa di Azure autonoma
Ciclo di vita Ciclo di vita condiviso con la risorsa di Azure con cui viene creata l'identità gestita.
Quando viene eliminata la risorsa padre, viene eliminata anche l'identità gestita.
Ciclo di vita indipendente.
Dev'essere eliminato in modo esplicito.
Condivisione tra risorse di Azure Non può essere condivisa.
Può essere associata solo a una singola risorsa di Azure.
Può essere condivisa
La stessa identità gestita assegnata dall'utente può essere associata a più risorse di Azure.
Casi d'uso comuni Carichi di lavoro che sono contenuti all'interno di una singola risorsa di Azure
Carichi di lavoro per cui sono necessarie identità indipendenti.
Ad esempio, un'applicazione che viene eseguita in una singola macchina virtuale
Carichi di lavoro che vengono eseguiti in più risorse e che possono condividere una singola identità.
Carichi di lavoro che richiedono l'autorizzazione preliminare per una risorsa protetta come parte di un flusso di provisioning.
Carichi di lavoro in cui le risorse vengono riciclate frequentemente, ma le autorizzazioni devono rimanere coerenti.
Ad esempio, un carico di lavoro in cui più macchine virtuali devono accedere alla stessa risorsa

Importante

Indipendentemente dal tipo di identità scelto, un'identità gestita è un'entità servizio di un tipo speciale che è possibile usare solo con le risorse di Azure. Quando l'identità gestita viene eliminata, l'entità servizio corrispondente viene automaticamente rimossa.

Come usare le identità gestite per le risorse di Azure

some examples of how a developer may use managed identities to get access to resources from their code without managing authentication information

Servizi di Azure che supportano questa funzionalità

Le identità gestite per le risorse di Azure possono essere usate per eseguire l'autenticazione ai servizi che supportano l'autenticazione di Azure AD. Per un elenco dei servizi di Azure che supportano la funzionalità delle identità gestite per le risorse di Azure, vedere Servizi che supportano le identità gestite per le risorse di Azure.

Quali operazioni è possibile eseguire usando le identità gestite?

Le risorse che supportano le identità gestite assegnate dal sistema consentono di:

Se invece si sceglie un'identità gestita assegnata dall'utente:

Le operazioni sulle identità gestite possono essere eseguite usando un modello di Azure Resource Manager (ARM), il portale di Azure, l'interfaccia della riga di comando di Azure, PowerShell e le API REST.

Passaggi successivi