Que sont les identités managées pour les ressources Azure ?
La gestion des secrets, des informations d’identification, des certificats et des clés utilisés pour sécuriser la communication entre les services constitue un défi courant pour les développeurs. Les identités managées permettent aux développeurs de ne plus avoir à gérer ces informations d’identification.
Bien que les développeurs puissent stocker en toute sécurité les secrets dans Azure Key Vault, les services ont besoin d’un moyen d’accéder à Azure Key Vault. Les identités managées fournissent une identité managée automatiquement dans Microsoft Entra ID que les applications peuvent utiliser lors de la connexion à des ressources qui prennent en charge l’authentification Microsoft Entra. Les applications peuvent utiliser des identités managées pour obtenir des jetons Microsoft Entra sans avoir à gérer les informations d’identification.
La vidéo suivante montre comment vous pouvez utiliser des identités managées :
Voici quelques-uns des avantages de l’utilisation des identités managées :
- Vous n’avez pas besoin de gérer les informations d’identification. Vous n’avez même pas accès aux informations d’identification.
- Vous pouvez utiliser des identités managées pour vous authentifier auprès de ressources qui prennent en charge l’authentification Microsoft Entra, y compris vos propres applications.
- Les identités managées peuvent être utilisées sans surcoût.
Notes
Identités managées pour les ressources Azure est le nouveau nom du service anciennement nommé Managed Service Identity (MSI).
Types d’identités managées
Il existe deux types d’identités administrées :
Affectation par le système. Certaines ressources Azure, comme les machines virtuelles, vous permettent d’activer une identité managée directement sur la ressource. Quand vous activez une identité managée affectée par le système :
- Un principal de service d’un type spécial est créé dans Microsoft Entra ID pour l’identité. Le principal de service est lié au cycle de vie de cette ressource Azure. Quand la ressource Azure est supprimée, Azure supprime automatiquement le principal de service pour vous.
- Par défaut, seule cette ressource Azure peut utiliser cette identité pour demander des jetons à Microsoft Entra ID.
- Vous autorisez l’identité managée à accéder à un ou plusieurs services.
- Le nom du principal de service affecté par le système est toujours identique au nom de la ressource Azure pour laquelle il est créé. Pour un emplacement de déploiement, le nom de son identité affectée par le système est
<app-name>/slots/<slot-name>
.
Affectation par l’utilisateur. Vous pouvez également créer une identité managée en tant que ressource Azure autonome. Vous pouvez créer une identité managée affectée par l’utilisateur et l’attribuer à une ou plusieurs ressources Azure. Quand vous activez une identité managée affectée par l’utilisateur :
- Un principal de service d’un type spécial est créé dans Microsoft Entra ID pour l’identité. Le principal de service est managé séparément par rapport aux ressources qui l’utilisent.
- Les identités attribuées par l’utilisateur peuvent être utilisées par plusieurs ressources.
- Vous autorisez l’identité managée à accéder à un ou plusieurs services.
Le tableau ci-dessous montre les différences entre les deux types d’identités managées :
Propriété | Identité managée affectée par le système | Identité managée affectée par l’utilisateur |
---|---|---|
Création | Créé dans le cadre d’une ressource Azure (par exemple, une machine virtuelle Azure ou Azure App Service). | Créé comme une ressource Azure autonome. |
Cycle de vie | Cycle de vie partagé entre la ressource Azure et l’identité managée avec laquelle elle est créée. Lorsque la ressource parente est supprimée, l’identité managée l’est également. |
Cycle de vie indépendant. Doit être explicitement supprimé. |
Partage entre ressources Azure | Ne peut pas être partagé. Ne peut être associé qu’à une seule ressource Azure. |
Peut être partagé. Une même identité managée affectée par l’utilisateur peut être associée à plusieurs ressources Azure. |
Cas d’utilisation courants | Charges de travail contenues dans une même ressource Azure. Charges de travail nécessitant des identités indépendantes. Par exemple, une application qui s’exécute sur une seule machine virtuelle. |
Charges de travail qui s’exécutent sur plusieurs ressources et qui peuvent partager une même identité. Charges de travail qui ont besoin d’une autorisation préalable pour accéder à une ressource sécurisée dans le cadre d’un flux de provisionnement. Charges de travail dont les ressources sont recyclées fréquemment, mais pour lesquelles les autorisations doivent rester les mêmes. Par exemple, une charge de travail où plusieurs machines virtuelles doivent accéder à la même ressource. |
Comment puis-je utiliser des identités managées pour les ressources Azure ?
Vous pouvez utiliser des identités managées en suivant les étapes ci-dessous :
- Créez une identité managée dans Azure. Vous pouvez choisir entre l’identité managée affectée par le système ou l’identité managée affectée par l’utilisateur.
- Quand vous utilisez une identité managée affectée par l’utilisateur, vous affectez l’identité managée à la ressource Azure « source », comme une machine virtuelle, une application logique Azure ou une application web Azure.
- Autorisez l’identité managée à accéder au service « cible ».
- Utilisez l’identité managée pour accéder à une ressource. Dans cette étape, vous pouvez utiliser le Kit de développement logiciel (SDK) Azure avec la bibliothèque Azure.Identity. Certaines ressources « source » offrent des connecteurs qui savent utiliser les identités managées pour les connexions. Dans ce cas, vous utilisez l’identité comme fonctionnalité de cette ressource « source ».
Quels sont les services Azure qui prennent en charge la fonctionnalité ?
Les identités managées pour les ressources Azure peuvent être utilisées pour s’authentifier auprès des services qui prennent en charge l’authentification Microsoft Entra. Pour obtenir la liste des services Azure pris en charge, consultez Services qui prennent en charge les identités managées pour les ressources Azure.
Quelles opérations puis-je effectuer sur les identités managées ?
Les ressources qui prennent en charge les identités managées affectées par le système vous permettent d’effectuer les opérations suivantes :
- Activer ou désactiver les identités managées au niveau de la ressource.
- Utilisez le contrôle d’accès en fonction du rôle (RBAC) pour accorder des autorisations.
- Afficher les opérations de création, lecture, mise à jour, suppression (CRUD, Create Read Update Delete) dans les journaux d’activité Azure.
- Afficher l’activité de connexion dans les journaux de connexion Microsoft Entra ID.
Si vous choisissez une identité managée affectée par l’utilisateur à la place :
- Vous pouvez créer, lire, mettre à jour et supprimer les identités.
- Vous pouvez utiliser les attributions de rôle RBAC pour octroyer des autorisations.
- Les identités managées affectées par l’utilisateur peuvent être utilisées sur plusieurs ressources.
- Les opérations CRUD peuvent être consultées dans les journaux d’activité Azure.
- Afficher l’activité de connexion dans les journaux de connexion Microsoft Entra ID.
Les opérations sur les identités managées peuvent être effectuées en utilisant un modèle Azure Resource Manager, le portail Azure, l’interface Azure CLI, PowerShell et des API REST.
Étapes suivantes
- Introduction et instructions pour les développeurs
- Utiliser l’identité managée affectée par le système d’une machine virtuelle pour accéder à Resource Manager
- Guide pratique pour utiliser des identités managées avec App Service et Azure Functions
- Comment utiliser des identités managées avec Azure Container Instances
- Implémentation d’identités managées pour des ressources Microsoft Azure
- Utilisez la fédération des identités de charge de travail pour les identités managées afin d’accéder aux ressources protégées par Microsoft Entra sans gérer les secrets