Что такое управляемые удостоверения для ресурсов Azure?

Распространенной проблемой для разработчиков является управление секретами и учетными данными для защиты обмена данными между различными компонентами решения. Управляемые удостоверения устраняют необходимость в управлении учетными данными для разработчиков. Управляемые удостоверения предоставляют удостоверение для приложений, используемых для подключения к ресурсам, поддерживающим проверку подлинности Azure Active Directory (Azure AD). Приложения могут использовать управляемое удостоверение для получения маркеров Azure AD. Например, приложение может использовать управляемое удостоверение для доступа к ресурсам, таким как Azure Key Vault , где разработчики могут хранить учетные данные безопасным образом или для доступа к учетным записям хранения.

Ознакомление со способами использования управляемых удостоверений

Ниже приведены некоторые преимущества использования управляемых удостоверений.

  • Управление учетными данными не требуется. Учетные данные даже недоступны.
  • Управляемые удостоверения можно использовать для проверки подлинности любого ресурса, поддерживающего проверку подлинности Azure Active Directory, включая собственные приложения.
  • Управляемые удостоверения можно использовать без дополнительных затрат.

Примечание

Управляемые удостоверения для ресурсов Azure — это новое название службы "Управляемое удостоверение службы" (MSI).

Типы управляемых удостоверений

Существует два типа управляемых удостоверений.

  • Назначенные системой. Некоторые службы Azure позволяют включить управляемое удостоверение непосредственно в экземпляре службы. При включении управляемого удостоверения, назначенного системой, в Azure AD создается удостоверение, связанное с жизненным циклом этого экземпляра службы. Поэтому при удалении ресурса Azure автоматически удаляет удостоверение. Только ресурс Azure может использовать это удостоверение для запроса маркеров из Azure AD.
  • Назначенные пользователем. Вы также можете сами создать управляемое удостоверение в качестве автономного ресурса Azure. Вы можете создать назначаемое пользователем управляемое удостоверение и назначить его одному или нескольким экземплярам службы Azure. В случае назначенных пользователем управляемых удостоверений управление таким удостоверением осуществляется отдельно от ресурсов, которые его используют.

В таблице ниже показаны различия между двумя типами управляемых удостоверений.

Свойство Управляемое удостоверение, назначаемое системой Управляемое удостоверение, назначаемое пользователем
Создание Создано как часть ресурса Azure (например, виртуальная машина Azure или Служба приложений Azure). Создано в качестве автономного ресурса Azure.
Жизненный цикл Жизненный цикл в общем доступе с ресурсом Azure, указанным при создании управляемого удостоверения.
При удалении родительского ресурса управляемое удостоверение также удаляется.
Независимый жизненный цикл.
Должен быть явно удален.
Совместное использование ресурсов Azure Невозможно настроить общий доступ.
Может быть связано только с одним ресурсом Azure.
Может быть в общем доступе.
Одно и то же назначаемое пользователем управляемое удостоверение может быть связано с несколькими ресурсами Azure.
Распространенные варианты использования Рабочие нагрузки, которые содержатся в одном ресурсе Azure.
Рабочие нагрузки, для которых требуются независимые удостоверения.
Например, приложение, выполняющееся на одной виртуальной машине.
Рабочие нагрузки, которые выполняются на нескольких ресурсах и могут совместно использовать одно удостоверение.
Рабочие нагрузки, требующие предварительную авторизацию к защищенному ресурсу, как часть потока подготовки.
Рабочие нагрузки, где ресурсы перезапускаются часто, но разрешения должны быть согласованными.
Например, рабочая нагрузка, где нескольким виртуальным машинам требуется доступ к одному и тому же ресурсу.

Важно!

Независимо от выбранного типа удостоверения управляемое удостоверение является субъектом-службой специального типа, который может использоваться только с ресурсами Azure. При удалении управляемого удостоверения соответствующий субъект-служба автоматически удаляется.

Как применять управляемые удостоверения для ресурсов Azure?

some examples of how a developer may use managed identities to get access to resources from their code without managing authentication information

Службы Azure, в которых поддерживается данная функция.

Управляемые удостоверения для ресурсов Azure можно использовать для аутентификации служб с поддержкой аутентификации Azure AD. См. дополнительные сведения о службах, которые поддерживают управляемые удостоверения для ресурсов Azure.

Какие операции можно выполнять с помощью управляемых удостоверений?

Ресурсы, поддерживающие назначаемые системой управляемые удостоверения, позволяют выполнять следующие задачи:

Если же вы выберете управляемое удостоверение, назначаемое пользователем:

Операции с управляемыми удостоверениями можно выполнять с помощью шаблона ARM, Azure CLI, PowerShell, REST API и на портале Azure.

Дальнейшие действия