¿Qué son las identidades administradas de recursos de Azure?
Un desafío común para los desarrolladores es la administración de secretos, credenciales, certificados, claves, etc. que se usan para proteger la comunicación entre servicios. Las identidades administradas eliminan la necesidad de administrar las credenciales para los desarrolladores.
Aunque los desarrolladores pueden almacenar de forma segura los secretos en Azure Key Vault, los servicios necesitan una manera de acceder a él. Las identidades administradas proporcionan una identidad administrada automáticamente en Azure Active Directory para que la usen las aplicaciones al conectarse a recursos que admitan la autenticación de Azure Active Directory (Azure AD). Las aplicaciones pueden usar identidades administradas para obtener tokens de Azure AD sin necesidad de administrar credenciales.
En el vídeo siguiente se muestra cómo puede usar identidades administradas:
Estas son algunas de las ventajas de usar las identidades administradas:
- No es necesario administrar credenciales. Las credenciales ni siquiera están accesibles.
- Puede usar identidades administradas para autenticarse en cualquier recurso que admita la autenticación de Azure AD, incluidas sus propias aplicaciones.
- Las identidades administradas se pueden usar sin costes adicionales.
Nota:
Identidades administradas para recursos de Azure es el nombre con el que ahora se conoce al servicio Managed Service Identity (MSI).
Tipos de identidad administrada
Hay dos tipos de identidades administradas:
Asignadas por el sistema. Algunos recursos de Azure, como las máquinas virtuales, permiten habilitar una identidad administrada directamente en el recurso. Cuando habilita una identidad administrada asignada por el sistema:
- Se crea una entidad de servicio de un tipo especial en Azure AD para la identidad. La entidad de servicio está vinculada al ciclo de vida de ese recurso de Azure. Cuando se elimina el recurso de Azure, Azure elimina automáticamente la entidad de servicio automáticamente.
- Por diseño, solo ese recurso de Azure puede usar esta identidad para solicitar tokens de Azure AD.
- Autorice a la identidad administrada para que pueda acceder a uno o varios servicios.
Asignadas por el usuario. También es posible crear una identidad administrada como un recurso independiente de Azure. Puede crear una identidad administrada asignada por el usuario y asignársela a uno o varios recursos de Azure. Cuando habilita una identidad administrada asignada por el usuario:
- Se crea una entidad de servicio de un tipo especial en Azure AD para la identidad. La entidad de servicio se administra por separado de los recursos que la usan.
- Las identidades asignadas por el usuario se pueden usar en varios recursos.
- Autorice a la identidad administrada para que pueda acceder a uno o varios servicios.
En la tabla siguiente, se muestran las diferencias entre los dos tipos de identidades administradas:
| Propiedad | Identidad administrada asignada por el sistema | Identidad administrada asignada por el usuario |
|---|---|---|
| Creación | Se crea como parte de un recurso de Azure (por ejemplo, Azure Virtual Machines o Azure App Service). | Se crea como un recurso de Azure independiente. |
| Ciclo de vida | Se comparte el ciclo de vida con el recurso de Azure con el que se creó la identidad administrada. Si se elimina el recurso primario, se elimina también la identidad administrada. | Ciclo de vida independiente. Se debe eliminar explícitamente. |
| Uso compartido de recursos de Azure | No se puede compartir. Solo se puede asociar con un único recurso de Azure. | Se puede compartir. La misma identidad administrada asignada por el usuario se puede asociar con más de un recurso de Azure. |
| Casos de uso comunes | Cargas de trabajo que contiene un único recurso de Azure. Cargas de trabajo para las que necesita identidades independientes. Por ejemplo, una aplicación que se ejecuta en una sola máquina virtual. | Cargas de trabajo que se ejecutan en varios recursos y pueden compartir una única identidad. Cargas de trabajo que necesitan autorización previa para un recurso seguro como parte de un flujo de aprovisionamiento. Cargas de trabajo donde los recursos se reciclan con frecuencia, pero los permisos deben permanecer coherentes. Por ejemplo, una carga de trabajo en la que varias máquinas virtuales tienen que acceder al mismo recurso. |
¿Cómo se usan las identidades administradas de Managed Identities for Azure Resources?
Siga los pasos siguientes para usar identidades administradas:
- Cree una identidad administrada en Azure. Puede elegir entre la identidad administrada asignada por el sistema o por el usuario.
- Cuando use una identidad administrada que haya asignado el usuario, asigne la identidad administrada a Azure Resource "de origen", como una máquina virtual, Azure Logic App o Azure Web App.
- Autorice el acceso al servicio de "destino" para la identidad administrada y
- Use la identidad administrada para acceder a un recurso. Para ello, puede usar el SDK de Azure con la biblioteca de Azure.Identity. Algunos recursos de "origen" ofrecen conectores que saben usar identidades administradas para las conexiones. En ese caso, usará la identidad como si esta fuera una característica de ese recurso de "origen".
¿Qué servicios de Azure admiten la característica?
Las identidades administradas de Managed Identities for Azure Resources se pueden usar para autenticarse en servicios que admiten la autenticación de Azure AD. Para ver una lista de identidades administradas, consulte Servicios que admiten identidades administradas para recursos de Azure.
¿Qué operaciones puedo realizar mediante identidades administradas?
Los recursos que admiten identidades administradas asignadas por el sistema le permiten:
- Habilitar o deshabilitar las identidades administradas en el nivel de recurso.
- Usar el control de acceso basado en rol (RBAC) para conceder permisos.
- Ver las operaciones de creación, lectura, actualización y eliminación (CRUD) en los registros de actividad de Azure.
- Ver la actividad de inicio de sesión en los registros de inicio de sesión de Azure AD.
Si en su lugar elige una identidad administrada asignada por el usuario:
- Puede crear, leer, actualizar y eliminar las identidades.
- Puede usar asignaciones de roles de RBAC para conceder permisos.
- Las identidades administradas asignadas por el usuario se pueden usar en más de un recurso.
- Las operaciones CRUD están disponibles para su revisión en los registros de actividad de Azure.
- Ver la actividad de inicio de sesión en los registros de inicio de sesión de Azure AD.
Las operaciones sobre identidades administradas se pueden realizar mediante una plantilla de Azure Resource Manager, Azure Portal, la CLI de Azure, PowerShell y las API REST.
Pasos siguientes
- Introducción e instrucciones para desarrolladores
- Uso de las identidades administradas asignadas por el sistema de una máquina virtual Windows para acceder a Resource Manager
- Uso de las identidades administradas asignadas por el sistema de una máquina virtual Linux para acceder a Resource Manager
- Cómo usar identidades administradas para App Service y Azure Functions
- Cómo utilizar una identidad administrada con Azure Container Instances
- Implementación de identidades administradas para recursos de Microsoft Azure
- Uso de la federación de identidades de carga de trabajo para identidades administradas para acceder a recursos protegidos de Azure Active Directory (Azure AD) sin administrar secretos