Что такое управляемые удостоверения для ресурсов Azure?

Распространенной проблемой для разработчиков является управление секретами, учетными данными, сертификатами и ключами, используемыми для защиты обмена данными между службами. Управляемые удостоверения устраняют необходимость управления этими учетными данными разработчиками.

Хотя разработчики могут безопасно хранить секреты в Azure Key Vault, службам требуется способ доступа к Azure Key Vault. Управляемые удостоверения предоставляют автоматическое управляемое удостоверение в идентификаторе Microsoft Entra для приложений, используемых при подключении к ресурсам, поддерживающим проверку подлинности Microsoft Entra. Приложения могут использовать управляемые удостоверения для получения маркеров Microsoft Entra без необходимости управлять учетными данными.

В следующем видео показано, как использовать управляемые удостоверения:

Ниже приведены некоторые преимущества использования управляемых удостоверений:

  • Вам не нужно управлять учетными данными. Учетные данные даже не доступны для вас.
  • Управляемые удостоверения можно использовать для проверки подлинности в любом ресурсе, поддерживающем проверку подлинности Microsoft Entra, включая собственные приложения.
  • Управляемые удостоверения можно использовать без дополнительных затрат.

Заметка

Управляемые удостоверения для ресурсов Azure — это новое имя службы, ранее известной как управляемое удостоверение службы (MSI).

Типы управляемых удостоверений

Существует два типа управляемых удостоверений:

  • Назначаемое системой. Некоторые ресурсы Azure, такие как виртуальные машины, позволяют включить управляемое удостоверение непосредственно в ресурсе. Если включить управляемое удостоверение, назначаемое системой, выполните следующие действия.

    • Субъект-служба специального типа создается в идентификаторе Microsoft Entra для удостоверения. Субъект-служба привязан к жизненному циклу этого ресурса Azure. При удалении ресурса Azure Azure автоматически удаляет субъект-службу.
    • С помощью этого удостоверения можно запросить маркеры из идентификатора Microsoft Entra.
    • Вы авторизуете управляемое удостоверение для доступа к одной или нескольким службам.
    • Имя субъекта-службы, назначаемого системой, всегда совпадает с именем создаваемого ресурса Azure. Для слота развертывания имя <app-name>/slots/<slot-name>его назначаемого системой удостоверения.
  • Назначаемое пользователем. Вы также можете создать управляемое удостоверение как автономный ресурс Azure. Вы можете создать управляемое удостоверение , назначаемое пользователем, и назначить его одному или нескольким ресурсам Azure. Если включить управляемое удостоверение, назначаемое пользователем, выполните следующие действия.

    • Субъект-служба специального типа создается в идентификаторе Microsoft Entra для удостоверения. Субъект-служба управляется отдельно от ресурсов, которые его используют.
    • Удостоверения, назначенные пользователем, могут использоваться несколькими ресурсами.
    • Вы авторизуете управляемое удостоверение для доступа к одной или нескольким службам.

В следующей таблице показаны различия между двумя типами управляемых удостоверений:

Свойство Назначаемое системой управляемое удостоверение Управляемое удостоверение, назначаемое пользователем
Создание Создан в составе ресурса Azure (например, Azure Виртуальные машины или службы приложение Azure). Создан как автономный ресурс Azure.
Жизненный цикл Общий жизненный цикл с ресурсом Azure, с которым создается управляемое удостоверение.
При удалении родительского ресурса также удаляется управляемое удостоверение.
Независимый жизненный цикл.
Необходимо явно удалить.
Общий доступ к ресурсам Azure Невозможно предоставлять общий доступ.
Его можно связать только с одним ресурсом Azure.
Может быть предоставлен общий доступ.
Одно и то же управляемое удостоверение, назначаемое пользователем, может быть связано с несколькими ресурсами Azure.
Распространенные варианты использования Рабочие нагрузки, содержащиеся в одном ресурсе Azure.
Рабочие нагрузки, требующие независимых удостоверений.
Например, приложение, работающее на одной виртуальной машине.
Рабочие нагрузки, которые выполняются на нескольких ресурсах и могут совместно использовать одно удостоверение.
Рабочие нагрузки, требующие предварительной авторизации для безопасного ресурса, в рамках потока подготовки.
Рабочие нагрузки, в которых ресурсы часто перезапускаются, но разрешения должны оставаться согласованными.
Например, рабочая нагрузка, в которой несколько виртуальных машин должны получить доступ к одному ресурсу.

Как использовать управляемые удостоверения для ресурсов Azure?

Для использования управляемых удостоверений выполните следующие действия.

  1. Создайте управляемое удостоверение в Azure. Вы можете выбрать управляемое удостоверение, назначаемое системой, или управляемое удостоверение, назначаемое пользователем.
    1. При использовании управляемого удостоверения, назначаемого пользователем, вы назначаете управляемое удостоверение исходному ресурсу Azure, например виртуальной машине, приложению логики Azure или веб-приложению Azure.
  2. Авторизовать управляемое удостоверение для доступа к "целевой" службе.
  3. Используйте управляемое удостоверение для доступа к ресурсу. На этом шаге можно использовать пакет SDK Azure с библиотекой Azure.Identity. Некоторые ресурсы "source" предлагают соединители, которые знают, как использовать управляемые удостоверения для подключений. В этом случае вы используете удостоверение как функцию этого ресурса источника.

Какие службы Azure поддерживают эту функцию?

Управляемые удостоверения для ресурсов Azure можно использовать для проверки подлинности в службах, поддерживающих проверку подлинности Microsoft Entra. Список поддерживаемых служб Azure см . в службах, поддерживающих управляемые удостоверения для ресурсов Azure.

Какие операции можно выполнять с управляемыми удостоверениями?

Ресурсы, поддерживающие назначенные системой управляемые удостоверения, позволяют:

  • Включение или отключение управляемых удостоверений на уровне ресурса.
  • Используйте управление доступом на основе ролей (RBAC) для предоставления разрешений.
  • Просмотр операций создания, чтения, обновления и удаления (CRUD) в журналах действий Azure.
  • Просмотр действий входа в журналах входа в Microsoft Entra ID.

Если вместо этого выбрать управляемое удостоверение, назначаемое пользователем, выполните следующие действия.

Операции с управляемыми удостоверениями можно выполнять с помощью шаблона Azure Resource Manager, портал Azure, Azure CLI, PowerShell и REST API.

Дальнейшие действия