สํารวจข้อมูลประจําตัวที่มีการจัดการ
ความท้าทายทั่วไปสําหรับนักพัฒนาคือการจัดการความลับ ข้อมูลประจําตัว ใบรับรอง และคีย์ที่ใช้ในการสื่อสารที่ปลอดภัยระหว่างบริการ ข้อมูลประจําตัวที่มีการจัดการจะขจัดความจําเป็นสําหรับนักพัฒนาในการจัดการข้อมูลประจําตัวเหล่านี้
ในขณะที่นักพัฒนาสามารถจัดเก็บข้อมูลลับในชุดเก็บคีย์ของ Azure ได้อย่างปลอดภัย แต่บริการจําเป็นต้องมีวิธีในการเข้าถึง Azure Key Vault ข้อมูลประจําตัวที่มีการจัดการจะระบุข้อมูลประจําตัวที่มีการจัดการโดยอัตโนมัติใน Microsoft Entra ID สําหรับแอปพลิเคชันที่จะใช้เมื่อเชื่อมต่อกับทรัพยากรที่สนับสนุนการรับรองความถูกต้อง Microsoft Entra แอปพลิเคชันสามารถใช้ข้อมูลประจําตัวที่มีการจัดการเพื่อรับโทเค็น Microsoft Entra โดยไม่ต้องจัดการข้อมูลประจําตัวใด ๆ
ชนิดของข้อมูลประจําตัวที่มีการจัดการ
มีข้อมูลประจําตัวที่มีการจัดการสองชนิด:
- ข้อมูลประจําตัวที่จัดการโดยระบบ จะเปิดใช้งานโดยตรงบนอินสแตนซ์บริการ Azure เมื่อเปิดใช้งานข้อมูลประจําตัว Azure จะสร้างข้อมูลประจําตัวสําหรับอินสแตนซ์ในผู้เช่า Microsoft Entra ที่น่าเชื่อถือโดยการสมัครใช้งานของอินสแตนซ์ หลังจากสร้างข้อมูลประจําตัวแล้ว ข้อมูลประจําตัวจะถูกเตรียมใช้งานไปยังอินสแตนซ์ วงจรชีวิตของข้อมูลประจําตัวที่ระบบกําหนดจะเชื่อมโยงกับอินสแตนซ์ของบริการ Azure ที่เปิดใช้งานโดยตรง หากอินสแตนซ์ถูกลบ Azure จะล้างข้อมูลประจําตัวและข้อมูลประจําตัวใน Microsoft Entra ID โดยอัตโนมัติ
- ข้อมูลประจําตัวที่จัดการโดยผู้ใช้ สร้างขึ้นเป็นทรัพยากร Azure แบบสแตนด์อโลน ด้วยกระบวนการสร้าง Azure สร้างข้อมูลประจําตัวในผู้เช่า Microsoft Entra ที่น่าเชื่อถือโดยการสมัครใช้งานที่ใช้งานอยู่ หลังจากสร้างข้อมูลประจําตัวแล้ว สามารถกําหนดข้อมูลประจําตัวให้กับอินสแตนซ์บริการ Azure ได้อย่างน้อยหนึ่งอินสแตนซ์ วงจรชีวิตของข้อมูลประจําตัวที่ผู้ใช้กําหนดได้รับการจัดการแยกต่างหากจากวงจรชีวิตของอินสแตนซ์บริการ Azure ที่กําหนดไว้
ข้อมูลประจําตัวที่มีการจัดการภายในเป็นโครงร่างสําคัญของบริการชนิดพิเศษซึ่งถูกล็อกไว้ที่จะใช้กับทรัพยากร Azure เท่านั้น เมื่อลบข้อมูลประจําตัวที่มีการจัดการแล้ว โครงร่างสําคัญของบริการที่สอดคล้องกันจะถูกลบออกโดยอัตโนมัติ
ลักษณะของข้อมูลประจําตัวที่มีการจัดการ
ตารางต่อไปนี้เน้นความแตกต่างที่สําคัญบางเรื่องระหว่างข้อมูลประจําตัวที่มีการจัดการสองชนิด
| ทรัพย์สิน | ข้อมูลประจําตัวที่จัดการซึ่งกําหนดโดยระบบ | ข้อมูลประจําตัวที่จัดการโดยผู้ใช้กําหนดเอง |
|---|---|---|
| การสร้างสรรค์ | สร้างขึ้นเป็นส่วนหนึ่งของทรัพยากร Azure (ตัวอย่างเช่น เครื่องเสมือน Azure หรือบริการแอป Azure) | สร้างเป็นทรัพยากร Azure แบบสแตนด์อโลน |
| วงจรชีวิต | วงจรชีวิตที่แชร์กับทรัพยากร Azure ที่สร้างด้วยข้อมูลประจําตัวที่มีการจัดการ เมื่อลบทรัพยากรหลัก ข้อมูลประจําตัวที่มีการจัดการจะถูกลบด้วยเช่นกัน | วงจรชีวิตอิสระ ต้องถูกลบอย่างชัดเจน |
| การแชร์ทั่วทั้งทรัพยากรของ Azure | ไม่สามารถแชร์ได้ จะสามารถเชื่อมโยงกับทรัพยากร Azure เดียวเท่านั้น | สามารถแชร์ได้ ข้อมูลประจําตัวที่จัดการโดยผู้ใช้กําหนดเองเดียวกันสามารถเชื่อมโยงกับทรัพยากร Azure ได้มากกว่าหนึ่งรายการ |
ต่อไปนี้คือกรณีการใช้งานทั่วไปสําหรับข้อมูลประจําตัวที่มีการจัดการ:
ข้อมูลประจําตัวที่จัดการซึ่งกําหนดโดยระบบ
- ปริมาณงานที่มีอยู่ภายในทรัพยากร Azure เดียว
- ปริมาณงานที่ต้องการข้อมูลประจําตัวอิสระ
- ตัวอย่างเช่น แอปพลิเคชันที่ทํางานบนเครื่องเสมือนเครื่องเดียว
ข้อมูลประจําตัวที่จัดการโดยผู้ใช้กําหนดเอง
- ปริมาณงานที่ทํางานบนแหล่งข้อมูลหลายแหล่ง และสามารถแชร์ข้อมูลประจําตัวเดียวได้
- ปริมาณงานที่จําเป็นต้องมีการรับรองความถูกต้องล่วงหน้าไปยังทรัพยากรที่ปลอดภัย ซึ่งเป็นส่วนหนึ่งของโฟลว์การเตรียมใช้งาน
- ปริมาณงานที่ทรัพยากรถูกรีไซเคิลบ่อยครั้ง แต่สิทธิ์ควรสอดคล้องกัน
- ตัวอย่างเช่น ปริมาณงานที่เครื่องเสมือนหลายเครื่องจําเป็นต้องเข้าถึงทรัพยากรเดียวกัน
บริการ Azure ใดบ้างที่สนับสนุนข้อมูลประจําตัวที่มีการจัดการ
ข้อมูลประจําตัวที่มีการจัดการสําหรับทรัพยากร Azure สามารถใช้เพื่อรับรองความถูกต้องไปยังบริการที่สนับสนุนการรับรองความถูกต้อง Microsoft Entra สําหรับรายการของบริการ Azure ที่สนับสนุนข้อมูลประจําตัวที่มีการจัดการสําหรับคุณลักษณะทรัพยากร Azure ไปที่บริการ ที่สนับสนุนข้อมูลประจําตัวที่มีการจัดการสําหรับทรัพยากร Azure
ส่วนที่เหลือของโมดูลนี้ใช้เครื่องเสมือน Azure ในตัวอย่าง แต่แนวคิดเดียวกันและการดําเนินการที่คล้ายกันสามารถนําไปใช้กับทรัพยากรใด ๆ ใน Azure ที่สนับสนุนการรับรองความถูกต้อง Microsoft Entra