Quais são as identidades geridas para os recursos do Azure?

Um desafio comum para os desenvolvedores é a gestão de segredos, credenciais, certificados e chaves usados para garantir a comunicação entre serviços. Identidades geridas eliminam a necessidade de os desenvolvedores gerirem estas credenciais.

Enquanto os desenvolvedores podem armazenar os segredos de forma segura em Azure Key Vault, os serviços precisam de uma forma de aceder ao Azure Key Vault. As identidades geridas fornecem uma identidade gerida automaticamente em Azure Ative Directory para as aplicações utilizarem quando se conectam a recursos que suportam Azure Ative Directory (Azure AD) autenticação. As aplicações podem usar identidades geridas para obter Azure AD fichas sem ter de gerir quaisquer credenciais.

O vídeo a seguir mostra como pode utilizar identidades geridas:

Aqui estão alguns dos benefícios de usar identidades geridas:

  • Não precisas de gerir credenciais. As credenciais nem sequer são acessíveis a si.
  • Pode utilizar identidades geridas para autenticar qualquer recurso que suporte Azure AD autenticação, incluindo as suas próprias aplicações.
  • As identidades geridas podem ser utilizadas sem custos adicionais.

Nota

Identidades geridas para recursos do Azure é o novo nome para o serviço anteriormente conhecido como Identidade de Serviço Gerida (MSI).

Tipos de identidade geridos

Existem dois tipos de identidades geridas:

  • Designado pelo sistema. Alguns serviços da Azure permitem-lhe ativar uma identidade gerida diretamente numa instância de serviço. Quando ativa uma identidade gerida atribuída ao sistema, cria-se uma identidade em Azure AD. A identidade está ligada ao ciclo de vida daquela instância de serviço. Quando o recurso é eliminado, o Azure elimina automaticamente a identidade para si. Por design, apenas que o recurso Azure pode usar esta identidade para solicitar fichas de Azure AD.
  • Atribuído pelo utilizador. Também pode criar uma identidade gerida como um recurso autónomo do Azure. Pode criar uma identidade gerida atribuída ao utilizador e atribuí-la a um ou mais casos de um serviço Azure. Para identidades geridas atribuídas pelo utilizador, a identidade é gerida separadamente dos recursos que a utilizam.

A tabela a seguir mostra as diferenças entre os dois tipos de identidades geridas:

Propriedade Identidade gerida atribuída pelo sistema Identidade gerida atribuída pelo utilizador
Criação Criado como parte de um recurso Azure (por exemplo, Azure Máquinas Virtuais ou Serviço de Aplicações do Azure). Criado como um recurso autónomo da Azure.
Ciclo de vida Ciclo de vida partilhado com o recurso Azure com o qual a identidade gerida é criada.
Quando o recurso principal é eliminado, a identidade gerida também é eliminada.
Ciclo de vida independente.
Deve ser explicitamente apagado.
Partilha através dos recursos Azure Não pode ser partilhado.
Só pode ser associado a um único recurso Azure.
Pode ser partilhado.
A mesma identidade gerida atribuída pelo utilizador pode ser associada a mais de um recurso Azure.
Casos de utilização comuns Cargas de trabalho contidas num único recurso Azure.
Cargas de trabalho para as quais precisa de identidades independentes.
Por exemplo, uma aplicação que funciona numa única máquina virtual.
Cargas de trabalho que funcionam com múltiplos recursos e podem partilhar uma única identidade.
Cargas de trabalho que necessitam de pré-autorização para um recurso seguro, como parte de um fluxo de provisionamento.
Cargas de trabalho onde os recursos são reciclados frequentemente, mas as permissões devem manter-se consistentes.
Por exemplo, uma carga de trabalho onde várias máquinas virtuais precisam de aceder ao mesmo recurso.

Importante

Independentemente do tipo de identidade escolhida, uma identidade gerida é um diretor de serviço de um tipo especial que só pode ser usado com recursos Azure. Quando a identidade gerida é eliminada, o ressi para o primeiro-estar do serviço é automaticamente removido.


Como posso utilizar as identidades geridas para os recursos do Azure?

Pode utilizar identidades geridas seguindo os passos abaixo:

  1. Criar uma identidade gerida em Azure. Pode escolher entre identidade gerida atribuída pelo sistema ou identidade gerida atribuída pelo utilizador.
  2. Ao trabalhar com uma identidade gerida atribuída pelo utilizador, atribua a identidade gerida ao "source" Azure Resource, como uma App Azure Logic ou uma App Web Azure.
  3. Autorizar a identidade gerida a ter acesso ao serviço "alvo".
  4. Use a identidade gerida para aceder a um recurso. Neste passo, pode utilizar o Azure SDK com a biblioteca Azure.Identity. Alguns recursos de "fonte" oferecem conectores que sabem como usar identidades geridas para as ligações. Nesse caso, utiliza-se a identidade como característica desse recurso de "fonte".

Que serviços do Azure suportam a funcionalidade?

As identidades geridas para recurso do Azure podem ser utilizadas para autenticação em serviços que suportem a autenticação do Azure AD. Para uma lista de serviços apoiados da Azure, consulte serviços que suportem identidades geridas para recursos Azure.

Que operações posso realizar usando identidades geridas?

Recursos que suportam identidades geridas permitem-lhe:

Em vez disso, se escolher uma identidade gerida atribuída por um utilizador:

As operações em identidades geridas podem ser realizadas utilizando um modelo de Resource Manager Azure, o portal do Azure, Azure CLI, PowerShell e REST APIs.

Passos seguintes