Bagikan melalui


Apa itu identitas terkelola untuk sumber daya Azure?

Tantangan umum bagi pengembang adalah pengelolaan rahasia, kredensial, sertifikat, dan kunci yang digunakan untuk mengamankan komunikasi antar layanan. Identitas terkelola menghilangkan kebutuhan pengembang untuk mengelola kredensial ini.

Meskipun pengembang dapat menyimpan rahasia dengan aman di Azure Key Vault, layanan memerlukan cara untuk mengakses Azure Key Vault. Identitas terkelola menyediakan identitas terkelola secara otomatis di ID Microsoft Entra untuk digunakan aplikasi saat menyambungkan ke sumber daya yang mendukung autentikasi Microsoft Entra. Aplikasi dapat menggunakan identitas terkelola untuk mendapatkan token Microsoft Entra tanpa harus mengelola kredensial apa pun.

Video berikut menunjukkan bagaimana Anda dapat menggunakan identitas terkelola:

Berikut adalah beberapa manfaat menggunakan identitas terkelola:

  • Anda tidak perlu mengelola kredensial. Kredensial bahkan tidak dapat diakses oleh Anda.
  • Anda dapat menggunakan identitas terkelola untuk mengautentikasi ke sumber daya apa pun yang mendukung autentikasi Microsoft Entra, termasuk aplikasi Anda sendiri.
  • Identitas terkelola dapat digunakan tanpa biaya tambahan.

Nota

Identitas terkelola untuk sumber daya Azure adalah nama baru untuk layanan yang sebelumnya dikenal sebagai Identitas Layanan Terkelola (MSI).

Jenis identitas terkelola

Ada dua jenis identitas terkelola:

  • Ditetapkan sistem. Beberapa sumber daya Azure, seperti komputer virtual memungkinkan Anda mengaktifkan identitas terkelola langsung pada sumber daya. Saat Anda mengaktifkan identitas terkelola yang ditetapkan sistem:

    • Perwakilan layanan dari jenis khusus dibuat di ID Microsoft Entra untuk identitas tersebut. Perwakilan layanan terkait dengan siklus hidup sumber daya Azure tersebut. Saat sumber daya Azure dihapus, Azure secara otomatis menghapus perwakilan layanan untuk Anda.
    • Secara desain, hanya sumber daya Azure yang dapat menggunakan identitas ini untuk meminta token dari ID Microsoft Entra.
    • Anda mengotorisasi identitas terkelola untuk memiliki akses ke satu atau beberapa layanan.
    • Nama perwakilan layanan yang ditetapkan sistem selalu sama dengan nama sumber daya Azure yang dibuatnya. Untuk slot penyebaran, nama identitas yang ditetapkan sistemnya adalah <app-name>/slots/<slot-name>.
  • Ditetapkan pengguna. Anda juga dapat membuat identitas terkelola sebagai sumber daya Azure mandiri. Anda dapat membuat identitas terkelola yang ditetapkan pengguna dan menetapkannya ke satu atau beberapa Sumber Daya Azure. Saat Anda mengaktifkan identitas terkelola yang ditetapkan pengguna:

    • Perwakilan layanan dari jenis khusus dibuat di ID Microsoft Entra untuk identitas tersebut. Perwakilan layanan dikelola secara terpisah dari sumber daya yang menggunakannya.
    • Identitas yang ditetapkan pengguna dapat digunakan oleh beberapa sumber daya.
    • Anda mengotorisasi identitas terkelola untuk memiliki akses ke satu atau beberapa layanan.

Tabel berikut ini memperlihatkan perbedaan antara dua jenis identitas terkelola:

Harta benda Identitas terkelola yang ditetapkan sistem Identitas terkelola yang ditetapkan pengguna
Penciptaan Dibuat sebagai bagian dari sumber daya Azure (misalnya, Azure Virtual Machines atau Azure App Service). Dibuat sebagai sumber daya Azure yang berdiri sendiri.
Siklus hidup Siklus hidup bersama dengan sumber daya Azure tempat identitas terkelola dibuat.
Saat sumber daya induk dihapus, identitas terkelola juga dihapus.
Siklus hidup independen.
Harus dihapus secara eksplisit.
Berbagi di seluruh sumber daya Azure Tidak dapat dibagikan.
Ini hanya dapat dikaitkan dengan satu sumber daya Azure.
Dapat dibagikan.
Identitas terkelola yang ditetapkan pengguna yang sama dapat dikaitkan dengan lebih dari satu sumber daya Azure.
Kasus penggunaan umum Beban kerja yang terkandung dalam satu sumber daya Azure.
Beban kerja membutuhkan identitas independen.
Misalnya, aplikasi yang berjalan pada satu komputer virtual.
Beban kerja yang berjalan pada beberapa sumber daya dan dapat berbagi satu identitas.
Beban kerja memerlukan pra-otorisasi ke sumber daya yang aman, sebagai bagian dari alur provisi.
Beban kerja di mana sumber daya sering didaur ulang, tetapi izin harus tetap konsisten.
Misalnya, beban kerja di mana beberapa komputer virtual perlu mengakses sumber daya yang sama.

Bagaimana cara menggunakan identitas terkelola untuk sumber daya Azure?

Anda dapat menggunakan identitas terkelola dengan mengikuti langkah-langkah di bawah ini:

  1. Membuat identitas terkelola di Azure. Anda dapat memilih antara identitas terkelola yang ditetapkan sistem atau identitas terkelola yang ditetapkan pengguna.
    1. Saat menggunakan identitas terkelola yang ditetapkan pengguna, Anda menetapkan identitas terkelola ke Sumber Daya Azure "sumber", seperti Komputer Virtual, Azure Logic App, atau Azure Web App.
  2. Otorisasi identitas terkelola untuk memiliki akses ke layanan "target".
  3. Gunakan identitas terkelola untuk mengakses sumber daya. Dalam langkah ini, Anda dapat menggunakan Azure SDK dengan pustaka Azure.Identity. Beberapa sumber daya "sumber" menawarkan konektor yang tahu cara menggunakan Identitas terkelola untuk koneksi. Dalam hal ini, Anda menggunakan identitas sebagai fitur sumber daya "sumber" tersebut.

Layanan Azure apa yang mendukung fitur ini?

Identitas terkelola untuk sumber daya Azure dapat digunakan untuk mengautentikasi ke layanan yang mendukung autentikasi Microsoft Entra. Untuk daftar layanan Azure yang didukung, lihat layanan yang mendukung identitas terkelola untuk sumber daya Azure.

Operasi mana yang dapat saya lakukan pada identitas terkelola?

Sumber daya yang mendukung identitas terkelola yang ditetapkan sistem memungkinkan Anda untuk:

  • Mengaktifkan atau menonaktifkan identitas terkelola di tingkat sumber daya.
  • Gunakan kontrol akses berbasis peran (RBAC) untuk memberikan izin.
  • Lihat operasi buat, baca, perbarui, dan hapus (CRUD) di log Aktivitas Azure.
  • Lihat aktivitas masuk di log masuk ID Microsoft Entra.

Jika Anda memilih identitas terkelola yang ditetapkan pengguna sebagai gantinya:

Operasi pada identitas terkelola dapat dilakukan dengan menggunakan templat Azure Resource Manager, portal Azure, Azure CLI, PowerShell, dan REST API.

Langkah berikutnya