Que sont les identités managées pour les ressources Azure ?

La gestion des secrets, des informations d’identification, des certificats et des clés utilisés pour sécuriser la communication entre les services constitue un défi courant pour les développeurs. Les identités managées permettent aux développeurs de ne plus avoir à gérer ces informations d’identification.

Bien que les développeurs puissent stocker en toute sécurité les secrets dans Azure Key Vault, les services ont besoin d’un moyen d’accéder à Azure Key Vault. Les identités managées fournissent une identité managée automatiquement dans Azure Active Directory dont se servent les applications pour se connecter à des ressources prenant en charge l’authentification Azure Active Directory (Azure AD). Les applications peuvent utiliser des identités managées pour obtenir des jetons Azure AD sans avoir à gérer les informations d’identification.

La vidéo suivante montre comment vous pouvez utiliser des identités managées :

Voici quelques-uns des avantages de l’utilisation des identités managées :

  • Vous n’avez pas besoin de gérer les informations d’identification. Vous n’avez même pas accès aux informations d’identification.
  • Vous pouvez utiliser des identités managées pour vous authentifier auprès de ressources qui prennent en charge l’authentification Azure AD, y compris vos propres applications.
  • Les identités managées peuvent être utilisées sans surcoût.

Notes

Identités managées pour les ressources Azure est le nouveau nom du service anciennement nommé Managed Service Identity (MSI).

Types d’identités managées

Il existe deux types d’identités administrées :

  • Affectation par le système. Certains services Azure vous permettent d’activer une identité managée directement sur une instance de service. Lorsque vous activez une identité managée affectée par le système, une identité est créée dans Azure AD. L’identité est liée au cycle de vie de cette instance de service. Lorsque la ressource est supprimée, Azure supprime automatiquement l’identité. Par défaut, seule cette ressource Azure peut utiliser cette identité pour demander des jetons à Azure AD.
  • Affectation par l’utilisateur. Vous pouvez également créer une identité managée en tant que ressource Azure autonome. Vous pouvez créer une identité managée affectée par l’utilisateur et l’attribuer à une ou plusieurs instances d’un service Azure. Une identité managée affectée par l’utilisateur est gérée séparément des ressources qui l’utilisent.

Le tableau ci-dessous montre les différences entre les deux types d’identités managées :

Propriété Identité managée affectée par le système Identité managée affectée par l’utilisateur
Création Créé dans le cadre d’une ressource Azure (par exemple, une machine virtuelle Azure ou Azure App Service). Créé comme une ressource Azure autonome.
Cycle de vie Cycle de vie partagé entre la ressource Azure et l’identité managée avec laquelle elle est créée.
Lorsque la ressource parente est supprimée, l’identité managée l’est également.
Cycle de vie indépendant.
Doit être explicitement supprimé.
Partage entre ressources Azure Ne peut pas être partagé.
Ne peut être associé qu’à une seule ressource Azure.
Peut être partagé.
Une même identité managée affectée par l’utilisateur peut être associée à plusieurs ressources Azure.
Cas d’utilisation courants Charges de travail contenues dans une même ressource Azure.
Charges de travail pour lesquelles vous avez besoin d’identités indépendantes.
Par exemple, une application qui s’exécute sur une seule machine virtuelle.
Charges de travail qui s’exécutent sur plusieurs ressources et qui peuvent partager une même identité.
Charges de travail qui ont besoin d’une autorisation préalable pour accéder à une ressource sécurisée dans le cadre d’un flux de provisionnement.
Charges de travail dont les ressources sont recyclées fréquemment, mais pour lesquelles les autorisations doivent rester les mêmes.
Par exemple, une charge de travail où plusieurs machines virtuelles doivent accéder à la même ressource.

Important

Quel que soit le type d’identité choisi, une identité managée est un principal de service d’un type spécial qui ne peut être utilisé qu’avec des ressources Azure. Lorsqu’une identité managée est supprimée, le principal de service correspondant est automatiquement supprimé.


Comment puis-je utiliser des identités managées pour les ressources Azure ?

Vous pouvez utiliser des identités managées en suivant les étapes ci-dessous :

  1. Créez une identité managée dans Azure. Vous pouvez choisir entre l’identité managée affectée par le système ou l’identité managée affectée par l’utilisateur.
  2. Lorsque vous utilisez une identité managée affectée par l’utilisateur, affectez l’identité managée à la ressource Azure « source », telle qu’une application logique Azure ou une application web Azure.
  3. Autorisez l’identité managée à accéder au service « cible ».
  4. Utilisez l’identité managée pour accéder à une ressource. Dans cette étape, vous pouvez utiliser le Kit de développement logiciel (SDK) Azure avec la bibliothèque Azure.Identity. Certaines ressources « source » offrent des connecteurs qui savent utiliser les identités managées pour les connexions. Dans ce cas, vous utilisez l’identité comme fonctionnalité de cette ressource « source ».

Quels sont les services Azure qui prennent en charge la fonctionnalité ?

Les identités managées pour les ressources Azure peuvent servir à l’authentification auprès des services prenant en charge l’authentification Azure AD. Pour obtenir la liste des services Azure pris en charge, consultez Services qui prennent en charge les identités managées pour les ressources Azure.

Quelles opérations puis-je effectuer à l’aide des identités managées ?

Les ressources qui prennent en charge les identités managées affectées par le système vous permettent d’effectuer les opérations suivantes :

  • Activer ou désactiver les identités managées au niveau de la ressource.
  • Utilisez le contrôle d’accès en fonction du rôle (RBAC) pour accorder des autorisations.
  • Afficher les opérations de création, lecture, mise à jour, suppression (CRUD, Create Read Update Delete) dans les journaux d’activité Azure.
  • Afficher l’activité de connexion dans les journaux de connexion Azure AD.

Si vous choisissez une identité managée affectée par l’utilisateur à la place :

Les opérations sur les identités managées peuvent être effectuées en utilisant un modèle Azure Resource Manager, le portail Azure, l’interface Azure CLI, PowerShell et des API REST.

Étapes suivantes