Что такое управляемые удостоверения для ресурсов Azure?
Распространенной проблемой для разработчиков является управление секретами, учетными данными, сертификатами и ключами, используемыми для защиты обмена данными между службами. Управляемые удостоверения устраняют необходимость управления этими учетными данными разработчиками.
Хотя разработчики могут безопасно хранить секреты в Azure Key Vault, службам требуется способ доступа к Azure Key Vault. Управляемые удостоверения предоставляют автоматическое управляемое удостоверение в идентификаторе Microsoft Entra для приложений, используемых при подключении к ресурсам, поддерживающим проверку подлинности Microsoft Entra. Приложения могут использовать управляемые удостоверения для получения маркеров Microsoft Entra без необходимости управлять учетными данными.
В следующем видео показано, как использовать управляемые удостоверения:
Ниже приведены некоторые преимущества использования управляемых удостоверений:
- Вам не нужно управлять учетными данными. Учетные данные даже не доступны для вас.
- Управляемые удостоверения можно использовать для проверки подлинности в любом ресурсе, поддерживающем проверку подлинности Microsoft Entra, включая собственные приложения.
- Управляемые удостоверения можно использовать без дополнительных затрат.
Заметка
Управляемые удостоверения для ресурсов Azure — это новое имя службы, ранее известной как управляемое удостоверение службы (MSI).
Типы управляемых удостоверений
Существует два типа управляемых удостоверений:
Назначаемое системой. Некоторые ресурсы Azure, такие как виртуальные машины, позволяют включить управляемое удостоверение непосредственно в ресурсе. Если включить управляемое удостоверение, назначаемое системой, выполните следующие действия.
- Субъект-служба специального типа создается в идентификаторе Microsoft Entra для удостоверения. Субъект-служба привязан к жизненному циклу этого ресурса Azure. При удалении ресурса Azure Azure автоматически удаляет субъект-службу.
- С помощью этого удостоверения можно запросить маркеры из идентификатора Microsoft Entra.
- Вы авторизуете управляемое удостоверение для доступа к одной или нескольким службам.
- Имя субъекта-службы, назначаемого системой, всегда совпадает с именем создаваемого ресурса Azure. Для слота развертывания имя
<app-name>/slots/<slot-name>его назначаемого системой удостоверения.
Назначаемое пользователем. Вы также можете создать управляемое удостоверение как автономный ресурс Azure. Вы можете создать управляемое удостоверение , назначаемое пользователем, и назначить его одному или нескольким ресурсам Azure. Если включить управляемое удостоверение, назначаемое пользователем, выполните следующие действия.
- Субъект-служба специального типа создается в идентификаторе Microsoft Entra для удостоверения. Субъект-служба управляется отдельно от ресурсов, которые его используют.
- Удостоверения, назначенные пользователем, могут использоваться несколькими ресурсами.
- Вы авторизуете управляемое удостоверение для доступа к одной или нескольким службам.
В следующей таблице показаны различия между двумя типами управляемых удостоверений:
| Свойство | Назначаемое системой управляемое удостоверение | Управляемое удостоверение, назначаемое пользователем |
|---|---|---|
| Создание | Создан в составе ресурса Azure (например, Azure Виртуальные машины или службы приложение Azure). | Создан как автономный ресурс Azure. |
| Жизненный цикл | Общий жизненный цикл с ресурсом Azure, с которым создается управляемое удостоверение. При удалении родительского ресурса также удаляется управляемое удостоверение. |
Независимый жизненный цикл. Необходимо явно удалить. |
| Общий доступ к ресурсам Azure | Невозможно предоставлять общий доступ. Его можно связать только с одним ресурсом Azure. |
Может быть предоставлен общий доступ. Одно и то же управляемое удостоверение, назначаемое пользователем, может быть связано с несколькими ресурсами Azure. |
| Распространенные варианты использования | Рабочие нагрузки, содержащиеся в одном ресурсе Azure. Рабочие нагрузки, требующие независимых удостоверений. Например, приложение, работающее на одной виртуальной машине. |
Рабочие нагрузки, которые выполняются на нескольких ресурсах и могут совместно использовать одно удостоверение. Рабочие нагрузки, требующие предварительной авторизации для безопасного ресурса, в рамках потока подготовки. Рабочие нагрузки, в которых ресурсы часто перезапускаются, но разрешения должны оставаться согласованными. Например, рабочая нагрузка, в которой несколько виртуальных машин должны получить доступ к одному ресурсу. |
Как использовать управляемые удостоверения для ресурсов Azure?
Для использования управляемых удостоверений выполните следующие действия.
- Создайте управляемое удостоверение в Azure. Вы можете выбрать управляемое удостоверение, назначаемое системой, или управляемое удостоверение, назначаемое пользователем.
- При использовании управляемого удостоверения, назначаемого пользователем, вы назначаете управляемое удостоверение исходному ресурсу Azure, например виртуальной машине, приложению логики Azure или веб-приложению Azure.
- Авторизовать управляемое удостоверение для доступа к "целевой" службе.
- Используйте управляемое удостоверение для доступа к ресурсу. На этом шаге можно использовать пакет SDK Azure с библиотекой Azure.Identity. Некоторые ресурсы "source" предлагают соединители, которые знают, как использовать управляемые удостоверения для подключений. В этом случае вы используете удостоверение как функцию этого ресурса источника.
Какие службы Azure поддерживают эту функцию?
Управляемые удостоверения для ресурсов Azure можно использовать для проверки подлинности в службах, поддерживающих проверку подлинности Microsoft Entra. Список поддерживаемых служб Azure см . в службах, поддерживающих управляемые удостоверения для ресурсов Azure.
Какие операции можно выполнять с управляемыми удостоверениями?
Ресурсы, поддерживающие назначенные системой управляемые удостоверения, позволяют:
- Включение или отключение управляемых удостоверений на уровне ресурса.
- Используйте управление доступом на основе ролей (RBAC) для предоставления разрешений.
- Просмотр операций создания, чтения, обновления и удаления (CRUD) в журналах действий Azure.
- Просмотр действий входа в журналах входа в Microsoft Entra ID.
Если вместо этого выбрать управляемое удостоверение, назначаемое пользователем, выполните следующие действия.
- Вы можете создавать, читать, обновлять и удалять удостоверения.
- Для предоставления разрешений можно использовать назначения ролей RBAC.
- Назначаемые пользователем управляемые удостоверения можно использовать в нескольких ресурсах.
- Операции CRUD доступны для проверки в журналах действий Azure.
- Просмотр действий входа в журналах входа в Microsoft Entra ID.
Операции с управляемыми удостоверениями можно выполнять с помощью шаблона Azure Resource Manager, портал Azure, Azure CLI, PowerShell и REST API.
Дальнейшие действия
- Введение и рекомендации разработчика
- Использование управляемого удостоверения, назначаемого системой виртуальной машины, для доступа к Resource Manager
- Использование управляемых удостоверений для Служба приложений и Функции Azure
- Использование управляемых удостоверений с Экземпляры контейнеров Azure
- Реализация управляемых удостоверений для ресурсов Microsoft Azure
- Использование федерации удостоверений рабочей нагрузки для управляемых удостоверений для доступа к защищенным ресурсам Microsoft Entra без управления секретами