Co to są tożsamości zarządzane dla zasobów platformy Azure?

Typowym wyzwaniem dla deweloperów jest zarządzanie wpisami tajnymi, poświadczeniami, certyfikatami i kluczami używanymi do zabezpieczania komunikacji między usługami. Tożsamości zarządzane eliminują potrzebę zarządzania tymi poświadczeniami przez deweloperów.

Chociaż deweloperzy mogą bezpiecznie przechowywać wpisy tajne w usłudze Azure Key Vault, usługi wymagają sposobu uzyskiwania dostępu do usługi Azure Key Vault. Tożsamości zarządzane zapewniają automatyczną tożsamość zarządzaną w usłudze Azure Active Directory dla aplikacji do użycia podczas nawiązywania połączenia z zasobami obsługującymi uwierzytelnianie usługi Azure Active Directory (Azure AD). Aplikacje mogą używać tożsamości zarządzanych do uzyskiwania tokenów Azure AD bez konieczności zarządzania poświadczeniami.

W poniższym filmie wideo pokazano, jak można używać tożsamości zarządzanych:

Poniżej przedstawiono niektóre korzyści wynikające z używania tożsamości zarządzanych:

  • Nie musisz zarządzać poświadczeniami. Poświadczenia nie są nawet dostępne dla Ciebie.
  • Tożsamości zarządzane można używać do uwierzytelniania w dowolnym zasobie, który obsługuje uwierzytelnianie Azure AD, w tym własne aplikacje.
  • Tożsamości zarządzane mogą być używane bez dodatkowych kosztów.

Uwaga

Tożsamości zarządzane dla zasobów platformy Azure to nowa nazwa usługi znanej wcześniej jako Tożsamość usługi zarządzanej (MSI).

Typy tożsamości zarządzanych

Istnieją dwa typy tożsamości zarządzanych:

  • Przypisane przez system. Niektóre zasoby platformy Azure, takie jak maszyny wirtualne, umożliwiają włączenie tożsamości zarządzanej bezpośrednio w zasobie. Po włączeniu przypisanej przez system tożsamości zarządzanej:

    • Jednostka usługi specjalnego typu jest tworzona w Azure AD dla tożsamości. Jednostka usługi jest powiązana z cyklem życia tego zasobu platformy Azure. Po usunięciu zasobu platformy Azure platforma Azure automatycznie usunie jednostkę usługi.
    • Zgodnie z projektem tylko ten zasób platformy Azure może używać tej tożsamości do żądania tokenów z Azure AD.
    • Autoryzujesz tożsamość zarządzaną, aby mieć dostęp do co najmniej jednej usługi.
  • Przypisane przez użytkownika. Możesz również utworzyć tożsamość zarządzaną jako autonomiczny zasób platformy Azure. Możesz utworzyć tożsamość zarządzaną przypisaną przez użytkownika i przypisać ją do co najmniej jednego zasobu platformy Azure. Po włączeniu tożsamości zarządzanej przypisanej przez użytkownika:

    • Jednostka usługi specjalnego typu jest tworzona w Azure AD dla tożsamości. Jednostka usługi jest zarządzana oddzielnie od zasobów, które z niej korzystają.
    • Tożsamości przypisane przez użytkownika mogą być używane przez wiele zasobów.
    • Autoryzujesz tożsamość zarządzaną, aby mieć dostęp do co najmniej jednej usługi.

W poniższej tabeli przedstawiono różnice między dwoma typami tożsamości zarządzanych:

Właściwość Tożsamość zarządzana przypisana przez system Tożsamość zarządzana przypisana przez użytkownika
Tworzenie Utworzone jako część zasobu platformy Azure (na przykład azure Virtual Machines lub Azure App Service). Utworzony jako autonomiczny zasób platformy Azure.
Cykl życiowy Współużytkowany cykl życia za pomocą zasobu platformy Azure, za pomocą którego jest tworzona tożsamość zarządzana. Po usunięciu zasobu nadrzędnego tożsamość zarządzana zostanie również usunięta. Niezależny cykl życia. Należy jawnie usunąć.
Udostępnianie zasobów platformy Azure Nie można udostępnić. Można ją skojarzyć tylko z pojedynczym zasobem platformy Azure. Może być współużytkowany. Tę samą tożsamość zarządzaną przypisaną przez użytkownika można skojarzyć z więcej niż jednym zasobem platformy Azure.
Typowe przypadki użycia Obciążenia zawarte w jednym zasobie platformy Azure. Obciążenia, dla których potrzebne są niezależne tożsamości. Na przykład aplikacja działająca na jednej maszynie wirtualnej. Obciążenia uruchamiane na wielu zasobach i mogą współużytkować jedną tożsamość. Obciążenia, które wymagają wstępnej autoryzacji do bezpiecznego zasobu w ramach przepływu aprowizacji. Obciążenia, w których zasoby są często poddawane recyklingu, ale uprawnienia powinny pozostać spójne. Na przykład obciążenie, w którym wiele maszyn wirtualnych musi uzyskać dostęp do tego samego zasobu.

Jak można używać tożsamości zarządzanych dla zasobów platformy Azure?

Tożsamości zarządzane można używać, wykonując poniższe kroki:

  1. Utwórz tożsamość zarządzaną na platformie Azure. Możesz wybrać tożsamość zarządzaną przypisaną przez system lub tożsamość zarządzaną przypisaną przez użytkownika.
    1. W przypadku korzystania z tożsamości zarządzanej przypisanej przez użytkownika należy przypisać tożsamość zarządzaną do zasobu platformy Azure "źródłowego", takiego jak maszyna wirtualna, aplikacja logiki platformy Azure lub aplikacja internetowa platformy Azure.
  2. Autoryzuj tożsamość zarządzaną, aby mieć dostęp do usługi "docelowej".
  3. Użyj tożsamości zarządzanej, aby uzyskać dostęp do zasobu. W tym kroku możesz użyć zestawu Azure SDK z biblioteką Azure.Identity. Niektóre zasoby źródłowe oferują łączniki, które wiedzą, jak używać tożsamości zarządzanych dla połączeń. W takim przypadku tożsamość jest używana jako funkcja tego zasobu "źródłowego".

Jakie usługi platformy Azure obsługują funkcję?

Tożsamości zarządzane dla zasobów platformy Azure mogą służyć do uwierzytelniania w usługach obsługujących uwierzytelnianie usługi Azure AD. Aby uzyskać listę obsługiwanych usług platformy Azure, zobacz usługi, które obsługują tożsamości zarządzane dla zasobów platformy Azure.

Które operacje można wykonywać przy użyciu tożsamości zarządzanych?

Zasoby, które obsługują tożsamości zarządzane przypisane przez system, umożliwiają:

Jeśli zamiast tego wybierzesz tożsamość zarządzaną przypisaną przez użytkownika:

Operacje na tożsamościach zarządzanych można wykonywać przy użyciu szablonu usługi Azure Resource Manager, Azure Portal, interfejsu wiersza polecenia platformy Azure, programu PowerShell i interfejsów API REST.

Następne kroki