¿Qué son las identidades administradas de recursos de Azure?
Un desafío común para los desarrolladores es la administración de secretos, credenciales, certificados, claves, etc. que se usan para proteger la comunicación entre servicios. Las identidades administradas eliminan la necesidad de administrar las credenciales para los desarrolladores.
Aunque los desarrolladores pueden almacenar de forma segura los secretos en Azure Key Vault, los servicios necesitan una manera de acceder a él. Las identidades administradas proporcionan una identidad administrada automáticamente en Microsoft Entra ID para que las aplicaciones la utilicen al conectarse a los recursos que admiten la autenticación de Microsoft Entra. Las aplicaciones pueden usar identidades administradas para obtener tokens de Microsoft Entra sin necesidad de administrar credenciales.
En el vídeo siguiente se muestra cómo puedes usar identidades administradas:
Estas son algunas de las ventajas de usar las identidades administradas:
- No es necesario administrar credenciales. Las credenciales ni siquiera están accesibles.
- Puedes usar identidades administradas para autenticarse en cualquier recurso que admita la autenticación de Microsoft Entra, incluidas tus propias aplicaciones.
- Las identidades administradas se pueden usar sin costes adicionales.
Nota
Identidades administradas para recursos de Azure es el nombre con el que ahora se conoce al servicio Managed Service Identity (MSI).
Tipos de identidad administrada
Hay dos tipos de identidades administradas:
Asignadas por el sistema. Algunos recursos de Azure, como las máquinas virtuales, permiten habilitar una identidad administrada directamente en el recurso. Cuando habilitas una identidad administrada asignada por el sistema:
- Se crea una entidad de servicio de un tipo especial en Microsoft Entra ID para la identidad. La entidad de servicio está vinculada al ciclo de vida de ese recurso de Azure. Cuando se elimina el recurso de Azure, Azure elimina automáticamente la entidad de servicio automáticamente.
- Por diseño, solo ese recurso de Azure puede usar esta identidad para solicitar tokens de Microsoft Entra ID.
- Autoriza a la identidad administrada para que pueda acceder a uno o varios servicios.
- El nombre de la entidad de servicio asignada por el sistema siempre es el mismo que el nombre del recurso de Azure para el que se crea. En el caso de una ranura de implementación, el nombre de su identidad asignada por el sistema es
<app-name>/slots/<slot-name>
.
Asignadas por el usuario. También es posible crear una identidad administrada como un recurso independiente de Azure. Puedes crear una identidad administrada asignada por el usuario y asignársela a uno o varios recursos de Azure. Cuando habilitas una identidad administrada asignada por el usuario:
- Se crea una entidad de servicio de un tipo especial en Microsoft Entra ID para la identidad. La entidad de servicio se administra por separado de los recursos que la usan.
- Las identidades asignadas por el usuario se pueden usar en varios recursos.
- Autoriza a la identidad administrada para que pueda acceder a uno o varios servicios.
En la tabla siguiente, se muestran las diferencias entre los dos tipos de identidades administradas:
Propiedad | Identidad administrada asignada por el sistema | Identidad administrada asignada por el usuario |
---|---|---|
Creación | Se crea como parte de un recurso de Azure (por ejemplo, Azure Virtual Machines o Azure App Service). | Se crea como un recurso de Azure independiente. |
Ciclo de vida | Se comparte el ciclo de vida con el recurso de Azure con el que se creó la identidad administrada. Si se elimina el recurso primario, se elimina también la identidad administrada. |
Ciclo de vida independiente. Se debe eliminar explícitamente. |
Uso compartido de recursos de Azure | No se puede compartir. Solo se puede asociar con un único recurso de Azure. |
Se puede compartir. La misma identidad administrada asignada por el usuario se puede asociar con más de un recurso de Azure. |
Casos de uso comunes | Cargas de trabajo que contiene un único recurso de Azure. Cargas de trabajo que necesitan identidades independientes. Por ejemplo, una aplicación que se ejecuta en una sola máquina virtual. |
Cargas de trabajo que se ejecutan en varios recursos y pueden compartir una única identidad. Cargas de trabajo que necesitan autorización previa para un recurso seguro como parte de un flujo de aprovisionamiento. Cargas de trabajo donde los recursos se reciclan con frecuencia, pero los permisos deben permanecer coherentes. Por ejemplo, una carga de trabajo en la que varias máquinas virtuales tienen que acceder al mismo recurso. |
¿Cómo se usan las identidades administradas de Managed Identities for Azure Resources?
Sigue los pasos siguientes para usar identidades administradas:
- Crea una identidad administrada en Azure. Puedes elegir entre la identidad administrada asignada por el sistema o por el usuario.
- Cuando uses una identidad administrada que haya asignado el usuario, asigna la identidad administrada a Azure Resource "de origen", como una máquina virtual, Azure Logic App o Azure Web App.
- Autoriza el acceso al servicio de "destino" para la identidad administrada.
- Usa la identidad administrada para acceder a un recurso. Para ello, puedes usar el SDK de Azure con la biblioteca de Azure.Identity. Algunos recursos de "origen" ofrecen conectores que saben usar identidades administradas para las conexiones. En ese caso, usarás la identidad como si esta fuera una característica de ese recurso de "origen".
¿Qué servicios de Azure admiten la característica?
Las identidades administradas para recursos de Azure se pueden usar para autenticarse en servicios que admiten la autenticación de Microsoft Entra. Para ver una lista de identidades administradas, consulta Servicios que admiten identidades administradas para recursos de Azure.
¿Qué operaciones puedo realizar en identidades administradas?
Los recursos que admiten identidades administradas asignadas por el sistema te permiten:
- Habilitar o deshabilitar las identidades administradas en el nivel de recurso.
- Usar el control de acceso basado en rol (RBAC) para conceder permisos.
- Ver las operaciones de creación, lectura, actualización y eliminación (CRUD) en los registros de actividad de Azure.
- Ver la actividad de inicio de sesión en los registros de inicio de sesión de Microsoft Entra ID.
Si en su lugar eliges una identidad administrada asignada por el usuario:
- Puedes crear, leer, actualizar y eliminar las identidades.
- Puedes usar asignaciones de roles de RBAC para conceder permisos.
- Las identidades administradas asignadas por el usuario se pueden usar en más de un recurso.
- Las operaciones CRUD están disponibles para su revisión en los registros de actividad de Azure.
- Ver la actividad de inicio de sesión en los registros de inicio de sesión de Microsoft Entra ID.
Las operaciones sobre identidades administradas se pueden realizar mediante una plantilla de Azure Resource Manager, Azure Portal, la CLI de Azure, PowerShell y las API de REST.
Pasos siguientes
- Introducción e instrucciones para desarrolladores
- Uso de las identidades administradas asignadas por el sistema de una máquina virtual para acceder a Resource Manager
- Cómo usar identidades administradas para App Service y Azure Functions
- Cómo utilizar una identidad administrada con Azure Container Instances
- Implementación de identidades administradas para recursos de Microsoft Azure
- Usa la federación de identidades de carga de trabajo para identidades administradas para acceder a los recursos protegidos de Microsoft Entra sin administrar secretos