開發人員面臨的一個常見挑戰是管理用於保護服務之間通訊的秘密、憑證、憑證和金鑰。 受控識別可讓開發人員不需要管理這些認證。
雖然開發人員可以安全地將秘密儲存在 Azure 金鑰保存庫中,但服務需要一種方式來存取 Azure 金鑰保存庫。 受控識別會在 Microsoft Entra ID 中提供自動受控識別,讓應用程式在連線到支援 Microsoft Entra 驗證的資源時使用。 應用程式可以使用受控識別來取得 Microsoft Entra 權杖,而不需要管理任何認證。
以下是使用受控識別的一些優點:
- 您不需要管理認證。 您甚至無法存取認證。
- 您可以使用受控識別,向支援 Microsoft Entra 驗證的任何資源進行驗證,包括您自己的應用程式。
- 受控識別可以免費使用。
Azure 中可用的受控識別類型
受控識別有兩種類型:
系統指派:某些 Azure 資源類型,例如適用於 PostgreSQL 的 Azure 資料庫,可讓您直接在資源上啟用受控識別。 它們稱為系統指派的受控識別。 當您啟用系統指派的受控識別時:
特定類型的服務主體會在 Microsoft Entra ID 中建立,以進行識別。 服務主體會綁定於該 Azure 資源的生命週期。 刪除 Azure 資源時,Azure 會自動為您刪除服務主體。
根據設計,只有該 Azure 資源可以使用此身分識別,自 Microsoft Entra ID 要求權杖。
您可以授權與受控識別相關聯的服務主體存取一或多個服務。
指派給與受控識別相關的服務主體的名稱始終與為其建立的 Azure 資源名稱相同。
指派的使用者:某些 Azure 資源類型也支援將使用者建立的受控識別指派為獨立資源。 這些身分識別的生命週期與指派給它們的資源生命週期無關。 它們可以被指派給多個資源。 當您啟用使用者指派的受控識別時:
特定類型的服務主體會在 Microsoft Entra ID 中建立,以進行識別。 服務主體會與使用該服務主體的資源分開管理。
多個資源可以利用使用者指派的身分。
您授權受控識別存取一或多個服務。
在適用於 PostgreSQL 的 Azure 資料庫中使用受控識別
適用於 PostgreSQL 的 Azure 資料庫的系統指派受控識別是由下列專案使用:
- 當Azure 儲存延伸模組設定為使用
managed-identity驗證類型來存取儲存體帳戶時。 如需詳細資訊,請參閱如何 設定 azure_storage 擴充功能以使用 Microsoft Entra ID 授權。 - 來自「適用於 PostgreSQL 的 Azure 資料庫」中的 Microsoft Fabric 鏡像資料庫 (預覽) 會使用系統指派的受控識別認證,來簽署您的彈性伺服器執行個體傳送至 Microsoft Fabric 中 Azure DataLake 服務的要求,以鏡像您指定的資料庫。
設定於 Azure 資料庫的 PostgreSQL 彈性伺服器實例中的使用者指派的受控識別可以用於: