Quais são as identidades geridas para os recursos do Azure?What are managed identities for Azure resources?

Um desafio comum para os desenvolvedores é a gestão de segredos e credenciais para garantir a comunicação entre diferentes serviços.A common challenge for developers is the management of secrets and credentials to secure communication between different services. No Azure, identidades geridas eliminam a necessidade de os desenvolvedores terem de gerir credenciais fornecendo uma identidade para o recurso Azure em Azure AD e usando-o para obter fichas do Azure Ative Directory (Azure AD).On Azure, managed identities eliminate the need for developers having to manage credentials by providing an identity for the Azure resource in Azure AD and using it to obtain Azure Active Directory (Azure AD) tokens. Isto também ajuda a aceder ao Azure Key Vault onde os desenvolvedores podem armazenar credenciais de forma segura.This also helps accessing Azure Key Vault where developers can store credentials in a secure manner. Identidades geridas para recursos Azure resolvem este problema fornecendo aos serviços Azure uma identidade gerida automaticamente em Azure AD.Managed identities for Azure resources solves this problem by providing Azure services with an automatically managed identity in Azure AD.

Para que pode ser usada uma identidade gerida?What can a managed identity be used for?

Aqui estão alguns dos benefícios da utilização de identidades geridas:Here are some of the benefits of using Managed identities:

  • Não precisas de gerir credenciais.You don't need to manage credentials. As credenciais nem sequer são acessíveis a si.Credentials are not even accessible to you.
  • Pode utilizar identidades geridas para autenticar qualquer serviço Azure que suporte a autenticação AD Azure, incluindo o Cofre da Chave Azure.You can use managed identities to authenticate to any Azure service that supports Azure AD authentication including Azure Key Vault.
  • As identidades geridas podem ser utilizadas sem qualquer custo adicional.Managed identities can be used without any additional cost.

Nota

Identidades geridas para recursos do Azure é o novo nome para o serviço anteriormente conhecido como Identidade de Serviço Gerida (MSI).Managed identities for Azure resources is the new name for the service formerly known as Managed Service Identity (MSI).

Tipos de identidade geridosManaged identity types

Existem dois tipos de identidades geridas:There are two types of managed identities:

  • Afetado pelo sistema Alguns serviços da Azure permitem-lhe ativar uma identidade gerida diretamente numa instância de serviço.System-assigned Some Azure services allow you to enable a managed identity directly on a service instance. Quando ativa uma identidade gerida atribuída ao sistema, uma identidade é criada em Azure AD que está ligada ao ciclo de vida dessa instância de serviço.When you enable a system-assigned managed identity an identity is created in Azure AD that is tied to the lifecycle of that service instance. Assim, quando o recurso é eliminado, o Azure elimina automaticamente a identidade para si.So when the resource is deleted, Azure automatically deletes the identity for you. Por design, apenas esse recurso Azure pode usar esta identidade para solicitar fichas da Azure AD.By design, only that Azure resource can use this identity to request tokens from Azure AD.

  • Atribuído pelo utilizador Também pode criar uma identidade gerida como um recurso autónomo do Azure.User-assigned You may also create a managed identity as a standalone Azure resource. Pode criar uma identidade gerida atribuída pelo utilizador e atribuí-la a um ou mais casos de um serviço Azure.You can create a user-assigned managed identity and assign it to one or more instances of an Azure service. No caso de identidades geridas atribuídas pelo utilizador, a identidade é gerida separadamente dos recursos que a utilizam.In the case of user-assigned managed identities, the identity is managed separately from the resources that use it.

A tabela abaixo mostra as diferenças entre os dois tipos de identidades geridas.The table below shows the differences between the two types of managed identities.

PropriedadeProperty Identidade gerida atribuída pelo sistemaSystem-assigned managed identity Identidade gerida atribuída pelo utilizadorUser-assigned managed identity
CriaçãoCreation Criado como parte de um recurso Azure (por exemplo, uma máquina virtual Azure ou Serviço de Aplicações Azure)Created as part of an Azure resource (for example, an Azure virtual machine or Azure App Service) Criado como um recurso autónomo da AzureCreated as a stand-alone Azure resource
Ciclo de vidaLife cycle Ciclo de vida partilhado com o recurso Azure com o qual a identidade gerida é criada.Shared life cycle with the Azure resource that the managed identity is created with.
Quando o recurso principal é eliminado, a identidade gerida também é eliminada.When the parent resource is deleted, the managed identity is deleted as well.
Ciclo de vida independente.Independent life cycle.
Deve ser explicitamente apagado.Must be explicitly deleted.
Partilha através dos recursos AzureSharing across Azure resources Não pode ser partilhado.Cannot be shared.
Só pode ser associado a um único recurso Azure.It can only be associated with a single Azure resource.
Pode ser partilhadoCan be shared
A mesma identidade gerida atribuída pelo utilizador pode ser associada a mais de um recurso Azure.The same user-assigned managed identity can be associated with more than one Azure resource.
Casos de utilização comunsCommon use cases Cargas de trabalho contidas num único recurso AzureWorkloads that are contained within a single Azure resource
Cargas de trabalho para as quais precisa de identidades independentes.Workloads for which you need independent identities.
Por exemplo, uma aplicação que funciona numa única máquina virtualFor example, an application that runs on a single virtual machine
Cargas de trabalho que funcionam com múltiplos recursos e que podem partilhar uma única identidade.Workloads that run on multiple resources and which can share a single identity.
Cargas de trabalho que necessitam de pré-autorização para um recurso seguro como parte de um fluxo de provisionamento.Workloads that need pre-authorization to a secure resource as part of a provisioning flow.
Cargas de trabalho onde os recursos são reciclados frequentemente, mas as permissões devem manter-se consistentes.Workloads where resources are recycled frequently, but permissions should stay consistent.
Por exemplo, uma carga de trabalho onde várias máquinas virtuais precisam de aceder ao mesmo recursoFor example, a workload where multiple virtual machines need to access the same resource

Importante

Independentemente do tipo de identidade escolhida, uma identidade gerida é um diretor de serviço de um tipo especial que só pode ser utilizado com recursos Azure.Regardless of the type of identity chosen a managed identity is a service principal of a special type that may only be used with Azure resources. Quando a identidade gerida é eliminada, o ressiculante de serviço correspondente é automaticamente removido.When the managed identity is deleted, the corresponding service principal is automatically removed.

Como posso utilizar as identidades geridas para os recursos do Azure?How can I use managed identities for Azure resources?

alguns exemplos de como um desenvolvedor pode usar identidades geridas para obter acesso aos recursos a partir do seu código sem gerir informações de autenticação

Que serviços do Azure suportam a funcionalidade?What Azure services support the feature?

As identidades geridas para recurso do Azure podem ser utilizadas para autenticação em serviços que suportem a autenticação do Azure AD.Managed identities for Azure resources can be used to authenticate to services that support Azure AD authentication. Para obter uma lista dos serviços do Azure que suportam a funcionalidade de identidades geridas para recursos do Azure, veja Serviços que suportam as identidades geridas para recursos do Azure.For a list of Azure services that support the managed identities for Azure resources feature, see Services that support managed identities for Azure resources.

Passos seguintesNext steps