Apa identitas terkelola untuk sumber daya Azure?

Tantangan umum bagi pengembang adalah manajemen rahasia, info masuk, sertifikat, dan kunci yang digunakan untuk mengamankan komunikasi antara berbagai layanan. Identitas terkelola menghilangkan kebutuhan pengembang untuk mengelola info masuk.

Meskipun pengembang dapat menyimpan rahasia dengan aman di Azure Key Vault, layanan memerlukan cara untuk mengakses Azure Key Vault. Identitas Terkelola memberikan identitas untuk digunakan aplikasi saat menyambungkan ke sumber daya yang mendukung autentikasi Azure Active Directory (Azure AD). Aplikasi dapat menggunakan identitas terkelola untuk mendapatkan token Azure AD tanpa harus mengelola mandat apa pun.

Video berikut menunjukkan cara menggunakan identitas terkelola:

Berikut adalah beberapa manfaat menggunakan identitas terkelola:

  • Anda tidak perlu mengelola kredensial. Info masuk tidak dapat diakses oleh Anda.
  • Anda dapat menggunakan identitas terkelola untuk mengautentikasi ke sumber daya apa pun yang mendukung autentikasi Azure AD termasuk aplikasi Anda sendiri.
  • Identitas terkelola dapat digunakan tanpa biaya tambahan.

Catatan

Identitas terkelola untuk sumber daya Azure adalah nama baru untuk layanan yang sebelumnya dikenal sebagai Managed Service Identity (MSI).

Tipe identitas terkelola

Ada dua jenis identitas terkelola:

  • Ditetapkan sistem. Beberapa layanan Azure memungkinkan Anda mengaktifkan identitas terkelola langsung pada instans layanan. Saat Anda mengaktifkan identitas terkelola yang ditetapkan sistem, sebuah identitas akan dibuat di Azure AD. Identitas ini dikaitkan dengan siklus hidup instans layanan tersebut. Jadi, ketika sumber daya dihapus, Azure akan secara otomatis menghapus identitas untuk Anda. Secara desain, hanya sumber daya Azure yang dapat menggunakan identitas ini untuk meminta token dari Azure Active Directory.
  • Ditetapkan pengguna. Anda juga dapat membuat identitas terkelola sebagai sumber daya Azure mandiri. Anda dapat membuat identitas terkelola yang ditetapkan pengguna dan menetapkannya ke satu atau beberapa instans layanan Azure. Untuk identitas terkelola yang ditetapkan pengguna, identitas ini dikelola secara terpisah dari sumber daya yang menggunakannya.

Tabel di berikut menunjukkan perbedaan antara dua jenis identitas terkelola:

Properti Identitas terkelola yang ditetapkan sistem Identitas Terkelola yang Ditetapkan Pengguna
Pembuatan Dibuat sebagai bagian dari sumber daya Azure (misalnya, Azure Virtual Machines atau Azure App Service). Dibuat sebagai sumber daya Azure yang berdiri sendiri.
Siklus hidup Siklus hidup bersama dengan sumber daya Azure tempat identitas terkelola dibuat.
Ketika sumber daya induk dihapus, identitas terkelola juga dihapus.
Siklus hidup mandiri.
Harus dihapus secara eksplisit.
Berbagi di seluruh sumber daya Azure Tidak bisa dibagikan.
Ini hanya dapat dikaitkan dengan satu sumber daya Azure.
Dapat dibagikan.
Identitas terkelola yang ditetapkan pengguna yang sama dapat dikaitkan dengan lebih dari satu sumber daya Azure.
Kasus penggunaan umum Beban kerja yang terkandung dalam satu sumber daya Azure.
Beban kerja yang Anda butuhkan identitas independen-nya.
Misalnya, aplikasi yang berjalan pada satu mesin virtual.
Beban kerja yang berjalan pada beberapa sumber daya dan dapat berbagi satu identitas bersama.
Beban kerja yang memerlukan pra-otorisasi ke sumber daya yang aman sebagai bagian dari alur provisi.
Beban kerja di mana sumber daya sering didaur ulang, tetapi izin harus tetap konsisten.
Misalnya, beban kerja yang mengharuskan beberapa komputer virtual mengakses sumber daya yang sama.

Penting

Terlepas dari jenis identitas yang dipilih, identitas terkelola adalah perwakilan layanan dari jenis khusus yang hanya bisa digunakan dengan sumber daya Azure. Ketika identitas terkelola dihapus, perwakilan layanan yang sesuai secara otomatis dihapus.


Bagaimana cara menggunakan identitas terkelola untuk sumber daya Azure?

Anda dapat menggunakan identitas terkelola dengan mengikuti langkah-langkah di bawah ini:

  1. Buat identitas terkelola di Azure. Anda dapat memilih antara identitas terkelola yang ditetapkan sistem atau identitas terkelola yang ditetapkan pengguna.
  2. Saat bekerja dengan identitas terkelola yang ditetapkan pengguna, tetapkan identitas terkelola ke Sumber Daya Azure "sumber", seperti Aplikasi Logika Azure atau Aplikasi Web Azure.
  3. Memberikan otorisasi identitas terkelola agar memiliki akses ke layanan "target".
  4. Gunakan identitas terkelola untuk mengakses sumber daya. Dalam langkah ini, Anda dapat menggunakan SDK Azure dengan pustaka Azure.Identity. Beberapa sumber daya "sumber" menawarkan konektor yang memahami cara menggunakan Identitas terkelola untuk koneksi. Dalam hal ini, Anda cukup menggunakan identitas sebagai fitur dari sumber daya "sumber" tersebut.

Layanan Azure apa yang mendukung fitur ini?

Identitas terkelola untuk sumber daya Azure dapat digunakan untuk mengautentikasi ke layanan yang mendukung autentikasi Azure Active Directory. Untuk daftar layanan Azure yang didukung, lihat layanan yang mendukung identitas terkelola untuk sumber daya Azure.

Operasi mana yang dapat saya lakukan menggunakan identitas terkelola?

Sumber daya yang didukung sistem yang ditetapkan identitas terkelola memungkinkan Anda untuk:

  • Mengaktifkan atau menonaktifkan identitas terkelola di tingkat sumber daya.
  • Menggunakan kontrol akses berbasis peran (RBAC) untuk memberikan izin.
  • Lihat operasi buat, baca, perbarui, dan hapus (CRUD) di log Aktivitas Azure.
  • Lihat aktivitas masuk di log masuk Azure AD.

Jika Anda memilih identitas terkelola yang ditetapkan pengguna sebagai gantinya:

Operasi pada identitas terkelola dapat dilakukan menggunakan template Azure Resource Manager (ARM), portal Azure, Azure CLI, PowerShell, dan REST API.

Langkah berikutnya