Apa identitas terkelola untuk sumber daya Azure?
Tantangan umum bagi pengembang adalah manajemen rahasia, info masuk, sertifikat, dan kunci yang digunakan untuk mengamankan komunikasi antara berbagai layanan. Identitas terkelola menghilangkan kebutuhan pengembang untuk mengelola info masuk.
Meskipun pengembang dapat menyimpan rahasia dengan aman di Azure Key Vault, layanan memerlukan cara untuk mengakses Azure Key Vault. Identitas terkelola memberikan identitas terkelola secara otomatis di Microsoft Entra ID untuk digunakan aplikasi saat menyambung ke sumber daya yang mendukung autentikasi Microsoft Entra. Aplikasi dapat menggunakan identitas terkelola untuk mendapatkan token Microsoft Entra tanpa harus mengelola kredensial apa pun.
Video berikut menunjukkan cara menggunakan identitas terkelola:
Berikut adalah beberapa manfaat menggunakan identitas terkelola:
- Anda tidak perlu mengelola info masuk. Info masuk tidak dapat diakses oleh Anda.
- Anda dapat menggunakan identitas terkelola untuk mengautentikasi ke sumber daya apa pun yang mendukung autentikasi Microsoft Entra, termasuk aplikasi Anda sendiri.
- Identitas terkelola dapat digunakan tanpa biaya tambahan.
Catatan
Identitas terkelola untuk sumber daya Azure adalah nama baru untuk layanan yang sebelumnya dikenal sebagai Managed Service Identity (MSI).
Tipe identitas terkelola
Ada dua jenis identitas terkelola:
Ditetapkan sistem. Beberapa sumber daya Azure, seperti komputer virtual memungkinkan Anda mengaktifkan identitas terkelola langsung pada sumber daya. Saat Anda mengaktifkan identitas terkelola yang ditetapkan sistem:
- Perwakilan layanan dari jenis khusus dibuat di ID Microsoft Entra untuk identitas tersebut. Perwakilan layanan terkait dengan siklus hidup sumber daya Azure tersebut. Saat sumber daya Azure dihapus, Azure secara otomatis menghapus perwakilan layanan untuk Anda.
- Secara desain, hanya sumber daya Azure yang dapat menggunakan identitas ini untuk meminta token dari Microsoft Entra ID.
- Anda mengotorisasi identitas terkelola untuk memiliki akses ke satu atau beberapa layanan.
- Nama perwakilan layanan yang ditetapkan sistem selalu sama dengan nama sumber daya Azure yang dibuatnya. Untuk slot penyebaran, nama identitas yang ditetapkan sistemnya adalah
<app-name>/slots/<slot-name>
.
Ditetapkan pengguna. Anda juga dapat membuat identitas terkelola sebagai sumber daya Azure mandiri. Anda dapat membuat identitas terkelola yang ditetapkan pengguna dan menetapkannya ke satu atau beberapa Sumber Daya Azure. Saat Anda mengaktifkan identitas terkelola yang ditetapkan pengguna:
- Perwakilan layanan dari jenis khusus dibuat di ID Microsoft Entra untuk identitas tersebut. Perwakilan layanan dikelola secara terpisah dari sumber daya yang menggunakannya.
- Identitas yang ditetapkan pengguna dapat digunakan oleh beberapa sumber daya.
- Anda mengotorisasi identitas terkelola untuk memiliki akses ke satu atau beberapa layanan.
Tabel di berikut menunjukkan perbedaan antara dua jenis identitas terkelola:
Properti | Identitas terkelola yang ditetapkan sistem | Identitas terkelola yang ditetapkan pengguna |
---|---|---|
Pembuatan | Dibuat sebagai bagian dari sumber daya Azure (misalnya, Azure Virtual Machines atau Azure App Service). | Dibuat sebagai sumber daya Azure yang berdiri sendiri. |
Siklus hidup | Siklus hidup bersama dengan sumber daya Azure tempat identitas terkelola dibuat. Ketika sumber daya induk dihapus, identitas terkelola juga dihapus. |
Siklus hidup mandiri. Harus dihapus secara eksplisit. |
Berbagi di seluruh sumber daya Azure | Tidak bisa dibagikan. Ini hanya dapat dikaitkan dengan satu sumber daya Azure. |
Dapat dibagikan. Identitas terkelola yang ditetapkan pengguna yang sama dapat dikaitkan dengan lebih dari satu sumber daya Azure. |
Kasus penggunaan umum | Beban kerja yang terkandung dalam satu sumber daya Azure. Beban kerja membutuhkan identitas independen. Misalnya, aplikasi yang berjalan pada satu mesin virtual. |
Beban kerja yang berjalan pada beberapa sumber daya dan dapat berbagi satu identitas bersama. Beban kerja memerlukan pra-otorisasi ke sumber daya yang aman, sebagai bagian dari alur provisi. Beban kerja di mana sumber daya sering didaur ulang, tetapi izin harus tetap konsisten. Misalnya, beban kerja yang mengharuskan beberapa komputer virtual mengakses sumber daya yang sama. |
Bagaimana cara menggunakan identitas terkelola untuk sumber daya Azure?
Anda dapat menggunakan identitas terkelola dengan mengikuti langkah-langkah di bawah ini:
- Buat identitas terkelola di Azure. Anda dapat memilih antara identitas terkelola yang ditetapkan sistem atau identitas terkelola yang ditetapkan pengguna.
- Saat menggunakan identitas terkelola yang ditetapkan pengguna, Anda menetapkan identitas terkelola ke Sumber Daya Azure "sumber", seperti Komputer Virtual, Azure Logic App, atau Azure Web App.
- Memberikan otorisasi identitas terkelola agar memiliki akses ke layanan "target".
- Gunakan identitas terkelola untuk mengakses sumber daya. Dalam langkah ini, Anda dapat menggunakan SDK Azure dengan pustaka Azure.Identity. Beberapa sumber daya "sumber" menawarkan konektor yang memahami cara menggunakan Identitas terkelola untuk koneksi. Dalam hal ini, Anda cukup menggunakan identitas sebagai fitur dari sumber daya "sumber" tersebut.
Layanan Azure apa yang mendukung fitur ini?
Identitas terkelola untuk sumber daya Azure dapat digunakan untuk mengautentikasi ke layanan yang mendukung autentikasi Microsoft Entra. Untuk daftar layanan Azure yang didukung, lihat layanan yang mendukung identitas terkelola untuk sumber daya Azure.
Operasi mana yang dapat saya lakukan pada identitas terkelola?
Sumber daya yang didukung sistem yang ditetapkan identitas terkelola memungkinkan Anda untuk:
- Mengaktifkan atau menonaktifkan identitas terkelola di tingkat sumber daya.
- Menggunakan kontrol akses berbasis peran (RBAC) untuk memberikan izin.
- Lihat operasi buat, baca, perbarui, dan hapus (CRUD) di log Aktivitas Azure.
- Lihat aktivitas masuk di log masuk ID Microsoft Entra.
Jika Anda memilih identitas terkelola yang ditetapkan pengguna sebagai gantinya:
- Anda dapat membuat, membaca, memperbarui, dan menghapus identitas.
- Anda dapat menggunakan penetapan peran RBAC untuk memberikan izin.
- Identitas terkelola yang ditetapkan pengguna dapat digunakan pada lebih dari satu sumber daya.
- Operasi CRUD tersedia untuk ditinjau dalam log Aktivitas Azure.
- Lihat aktivitas masuk di log masuk ID Microsoft Entra.
Operasi pada identitas terkelola dapat dilakukan menggunakan template Azure Resource Manager (ARM), portal Azure, Azure CLI, PowerShell, dan REST API.
Langkah berikutnya
- Pengenalan dan pedoman pengembang
- Menggunakan identitas terkelola yang ditetapkan sistem VM untuk mengakses Resource Manager
- Cara menggunakan identitas terkelola untuk App Service dan Azure Functions
- Cara menggunakan identitas terkelola dengan Azure Container Instances
- Mengimplementasikan Identitas terkelola untuk Sumber Daya Microsoft Azure
- Menggunakan federasi identitas beban kerja untuk identitas terkelola untuk mengakses sumber daya yang dilindungi Microsoft Entra tanpa mengelola rahasia