Wat zijn beheerde identiteiten voor Azure-resources?

Een veelvoorkomende uitdaging voor ontwikkelaars is het beheer van geheimen en referenties die worden gebruikt voor het beveiligen van de communicatie tussen verschillende onderdelen waar een oplossing uit bestaat. Beheerde identiteiten elimineren de noodzaak voor ontwikkelaars om referenties te beheren. Beheerde identiteiten bieden een identiteit die toepassingen kunnen gebruiken bij het maken van verbinding met resources Azure Active Directory (Azure AD)-verificatie ondersteunen. Toepassingen kunnen de beheerde identiteit gebruiken om Azure AD-tokens te verkrijgen. Een toepassing kan bijvoorbeeld een beheerde identiteit gebruiken voor toegang tot resources zoals Azure Key Vault waar ontwikkelaars referenties veilig kunnen opslaan of toegang kunnen krijgen tot opslagaccounts.

Bekijk hoe u beheerde identiteiten kunt gebruiken

Hier volgen enkele van de voordelen van het gebruik van beheerde identiteiten:

  • U hoeft geen referenties te beheren. Referenties zijn voor u zelfs niet toegankelijk.
  • U kunt beheerde identiteiten gebruiken voor verificatie bij elke resource die ondersteuning biedt voor Azure Active Directory verificatie, inclusief uw eigen toepassingen.
  • Beheerde identiteiten kunnen worden gebruikt zonder extra kosten.

Notitie

Beheerde identiteiten voor Azure-resources is de nieuwe naam voor de service die eerder de naam Managed Service Identity (MSI) had.

Typen beheerde identiteiten

Er zijn twee typen beheerde identiteit:

  • Door het systeem toegewezen Sommige Azure-services bieden u de mogelijkheid een beheerde identiteit rechtstreeks op een service-exemplaar in te schakelen. Wanneer u een door het systeem toegewezen beheerde identiteit inschakelt, wordt er een identiteit gemaakt in Azure AD die is gekoppeld aan de levenscyclus van het service-exemplaar. Als de resource wordt verwijderd, wordt de identiteit automatisch door Azure voor u verwijderd. Standaard kan alleen die Azure-resource deze identiteit gebruiken voor het aanvragen van tokens van Azure AD.
  • Door de gebruiker toegewezen U kunt ook een beheerde identiteit maken als een zelfstandige Azure-resource. U kunt een door de gebruiker toegewezen beheerde identiteit maken en deze toewijzen aan een of meer exemplaren van een Azure-service. In het geval van door de gebruiker toegewezen beheerde identiteiten, wordt de identiteit afzonderlijk beheerd van de resources die deze gebruikt.

In de volgende tabel ziet u de verschillen tussen de twee typen beheerde identiteiten.

Eigenschap Door het systeem toegewezen beheerde identiteit Door een gebruiker toegewezen beheerde identiteit
Maken Gemaakt als onderdeel van een Azure-resource (bijvoorbeeld een virtuele Azure-machine of Azure App Service) Gemaakt als een zelfstandige Azure-resource
Levenscyclus Gedeelde levenscyclus met de Azure-resource waarmee de beheerde identiteit wordt gemaakt.
Wanneer de bovenliggende resource wordt verwijderd, wordt ook de beheerde identiteit verwijderd.
Onafhankelijke levenscyclus.
Moet expliciet worden verwijderd.
Delen tussen Azure-resources Kan niet worden gedeeld.
Deze kan alleen worden gekoppeld aan één Azure-resource.
Kan worden gedeeld
Dezelfde door de gebruiker toegewezen beheerde identiteit kan worden gekoppeld aan meer dan één Azure-resource.
Algemene scenario’s Werkbelastingen die zijn opgenomen in één Azure-resource
Werkbelastingen waarvoor u onafhankelijke identiteiten nodig hebt.
Bijvoorbeeld een toepassing die op één virtuele machine wordt uitgevoerd
Werkbelastingen die worden uitgevoerd op meerdere resources en die één identiteit kunnen delen.
Werkbelastingen waarvoor vooraf autorisatie is vereist voor een beveiligde bron als onderdeel van een inrichtingsstroom.
Werkbelastingen waarbij resources regelmatig worden gerecycled, maar de machtigingen consistent moeten blijven.
Bijvoorbeeld een werkbelasting waarbij meerdere virtuele machines toegang moeten hebben tot dezelfde resource

Belangrijk

Los van het type identiteit dat een beheerde identiteit heeft gekozen, is er een service-principal van een speciaal type dat alleen kan worden gebruikt met Azure-resources. Wanneer de beheerde identiteit wordt verwijderd, wordt de bijbehorende service-principal automatisch verwijderd.

Hoe gebruik ik beheerde identiteiten voor Azure-resources?

enkele voorbeelden van hoe een ontwikkelaar beheerde identiteiten kan gebruiken om toegang te krijgen tot resources vanuit de code zonder verificatiegegevens te beheren

Welke Azure-services bieden ondersteuning voor de functie?

Beheerde identiteiten voor Azure-resources kunnen worden gebruikt voor verificatie bij services die ondersteuning bieden voor Azure AD-verificatie. Zie Services die ondersteuning bieden voor beheerde identiteiten voor Azure-resources voor meer informatie.

Welke bewerkingen kan ik uitvoeren met behulp van beheerde identiteiten?

Met resources die ondersteuning bieden voor door het systeem toegewezen beheerde identiteiten, kunt u het volgende doen:

Als u in plaats daarvan een door de gebruiker toegewezen beheerde identiteit kiest:

Bewerkingen op beheerde identiteiten kunnen worden uitgevoerd met behulp van een AZURE RESOURCE MANAGER-sjabloon (ARM), de Azure Portal, de Azure CLI, PowerShell en REST API's.

Volgende stappen