Wat zijn beheerde identiteiten voor Azure-resources?
Een veelvoorkomende uitdaging voor ontwikkelaars is het beheer van geheimen, referenties, certificaten en sleutels die worden gebruikt om de communicatie tussen services te beveiligen. Beheerde identiteiten elimineren de noodzaak voor ontwikkelaars om deze referenties te beheren.
Hoewel ontwikkelaars de geheimen veilig kunnen opslaan in Azure Key Vault, hebben services een manier nodig om toegang te krijgen tot Azure Key Vault. Beheerde identiteiten bieden een automatisch beheerde identiteit in Microsoft Entra ID voor toepassingen die kunnen worden gebruikt bij het maken van verbinding met resources die ondersteuning bieden voor Microsoft Entra-verificatie. Toepassingen kunnen beheerde identiteiten gebruiken om Microsoft Entra-tokens te verkrijgen zonder referenties te hoeven beheren.
In de volgende video ziet u hoe u beheerde identiteiten kunt gebruiken:
Hier volgen enkele voordelen van het gebruik van beheerde identiteiten:
- U hoeft geen referenties te beheren. Referenties zijn niet eens toegankelijk voor u.
- U kunt beheerde identiteiten gebruiken om te verifiëren bij elke resource die ondersteuning biedt voor Microsoft Entra-verificatie, inclusief uw eigen toepassingen.
- Beheerde identiteiten kunnen zonder extra kosten worden gebruikt.
Notitie
Beheerde identiteiten voor Azure-resources is de nieuwe naam voor de service die voorheen Managed Service Identity (MSI) wordt genoemd.
Typen beheerde identiteiten
Er zijn twee typen beheerde identiteiten:
Door het systeem toegewezen. Met sommige Azure-resources, zoals virtuele machines, kunt u een beheerde identiteit rechtstreeks op de resource inschakelen. Wanneer u een door het systeem toegewezen beheerde identiteit inschakelt:
- Er wordt een service-principal van een speciaal type gemaakt in Microsoft Entra ID voor de identiteit. De service-principal is gekoppeld aan de levenscyclus van die Azure-resource. Wanneer de Azure-resource wordt verwijderd, wordt de service-principal automatisch voor u verwijderd.
- Alleen die Azure-resource kan deze identiteit gebruiken om tokens aan te vragen bij Microsoft Entra-id.
- U machtigt de beheerde identiteit om toegang te hebben tot een of meer services.
- De naam van de door het systeem toegewezen service-principal is altijd dezelfde als de naam van de Azure-resource waarvoor deze is gemaakt. Voor een implementatiesite is
<app-name>/slots/<slot-name>de naam van de door het systeem toegewezen identiteit.
Door de gebruiker toegewezen. U kunt ook een beheerde identiteit maken als een zelfstandige Azure-resource. U kunt een door de gebruiker toegewezen beheerde identiteit maken en deze toewijzen aan een of meer Azure-resources. Wanneer u een door de gebruiker toegewezen beheerde identiteit inschakelt:
- Er wordt een service-principal van een speciaal type gemaakt in Microsoft Entra ID voor de identiteit. De service-principal wordt afzonderlijk beheerd van de resources die deze gebruiken.
- Door de gebruiker toegewezen identiteiten kunnen door meerdere resources worden gebruikt.
- U machtigt de beheerde identiteit om toegang te hebben tot een of meer services.
In de volgende tabel ziet u de verschillen tussen de twee typen beheerde identiteiten:
| Eigenschap | Door het systeem toegewezen beheerde identiteit | Door de gebruiker toegewezen beheerde identiteit |
|---|---|---|
| Creatie | Gemaakt als onderdeel van een Azure-resource (bijvoorbeeld Azure Virtual Machines of Azure-app Service). | Gemaakt als een zelfstandige Azure-resource. |
| Levenscyclus | Gedeelde levenscyclus met de Azure-resource waarmee de beheerde identiteit wordt gemaakt. Wanneer de bovenliggende resource wordt verwijderd, wordt de beheerde identiteit ook verwijderd. |
Onafhankelijke levenscyclus. Moet expliciet worden verwijderd. |
| Delen tussen Azure-resources | Kan niet worden gedeeld. Deze kan alleen worden gekoppeld aan één Azure-resource. |
Kan worden gedeeld. Dezelfde door de gebruiker toegewezen beheerde identiteit kan worden gekoppeld aan meer dan één Azure-resource. |
| Veelvoorkomende gebruiksvoorbeelden | Workloads in één Azure-resource. Workloads die onafhankelijke identiteiten nodig hebben. Bijvoorbeeld een toepassing die wordt uitgevoerd op één virtuele machine. |
Workloads die op meerdere resources worden uitgevoerd en die één identiteit kunnen delen. Workloads die vooraf moeten worden geautoriseerd voor een beveiligde resource, als onderdeel van een inrichtingsstroom. Workloads waarbij resources regelmatig worden gerecycled, maar machtigingen moeten consistent blijven. Bijvoorbeeld een workload waarbij meerdere virtuele machines toegang moeten hebben tot dezelfde resource. |
Hoe kan ik beheerde identiteiten gebruiken voor Azure-resources?
U kunt beheerde identiteiten gebruiken door de onderstaande stappen uit te voeren:
- Maak een beheerde identiteit in Azure. U kunt kiezen tussen door het systeem toegewezen beheerde identiteit of door de gebruiker toegewezen beheerde identiteit.
- Wanneer u een door de gebruiker toegewezen beheerde identiteit gebruikt, wijst u de beheerde identiteit toe aan de 'bron'-Azure-resource, zoals een virtuele machine, een logische Azure-app of een Azure-web-app.
- Autoriseren van de beheerde identiteit om toegang te krijgen tot de doelservice.
- Gebruik de beheerde identiteit om toegang te krijgen tot een resource. In deze stap kunt u de Azure SDK gebruiken met de Azure.Identity-bibliotheek. Sommige bronbronnen bieden connectors die weten hoe beheerde identiteiten voor de verbindingen moeten worden gebruikt. In dat geval gebruikt u de identiteit als een functie van die bronresource.
Welke Azure-services ondersteunen de functie?
Beheerde identiteiten voor Azure-resources kunnen worden gebruikt voor verificatie bij services die ondersteuning bieden voor Microsoft Entra-verificatie. Zie de services die beheerde identiteiten voor Azure-resources ondersteunen voor een lijst met ondersteunde Azure-services.
Welke bewerkingen kan ik uitvoeren voor beheerde identiteiten?
Met resources die door het systeem toegewezen beheerde identiteiten ondersteunen, kunt u het volgende doen:
- Beheerde identiteiten op resourceniveau in- of uitschakelen.
- Gebruik op rollen gebaseerd toegangsbeheer (RBAC) om machtigingen te verlenen.
- Bekijk de CRUD-bewerkingen (Create, Read, Update en Delete) in Azure-activiteitenlogboeken.
- Aanmeldingsactiviteiten weergeven in aanmeldingslogboeken van Microsoft Entra ID.
Als u in plaats daarvan een door de gebruiker toegewezen beheerde identiteit kiest:
- U kunt de identiteiten maken, lezen, bijwerken en verwijderen .
- U kunt RBAC-roltoewijzingen gebruiken om machtigingen te verlenen.
- Door de gebruiker toegewezen beheerde identiteiten kunnen worden gebruikt voor meer dan één resource.
- CRUD-bewerkingen zijn beschikbaar voor controle in Azure-activiteitenlogboeken.
- Aanmeldingsactiviteiten weergeven in aanmeldingslogboeken van Microsoft Entra ID.
Bewerkingen op beheerde identiteiten kunnen worden uitgevoerd met behulp van een Azure Resource Manager-sjabloon, Azure Portal, Azure CLI, PowerShell en REST API's.
Volgende stappen
- Inleiding en richtlijnen voor ontwikkelaars
- Een door het VM-systeem toegewezen beheerde identiteit gebruiken voor toegang tot Resource Manager
- Beheerde identiteiten gebruiken voor App Service en Azure Functions
- Beheerde identiteiten gebruiken met Azure Container Instances
- Beheerde identiteiten implementeren voor Microsoft Azure-resources
- Workloadidentiteitsfederatie gebruiken voor beheerde identiteiten voor toegang tot met Microsoft Entra beveiligde resources zonder geheimen te beheren