Wat zijn beheerde identiteiten voor Azure-resources?
Een veelvoorkomende uitdaging voor ontwikkelaars is het beheer van geheimen, referenties, certificaten en sleutels om communicatie tussen services te beveiligen. Dankzij beheerde identiteiten hoeven ontwikkelaars geen referenties meer te beheren.
Hoewel ontwikkelaars de geheimen veilig kunnen opslaan in Azure Key Vault, moeten services een manier hebben om toegang te krijgen tot Azure Key Vault. Beheerde identiteiten bieden een automatisch beheerde identiteit in Microsoft Entra ID voor toepassingen die worden gebruikt om verbinding te maken met resources die Microsoft Entra-verificatie ondersteunen. Toepassingen kunnen beheerde identiteiten gebruiken om Microsoft Entra-tokens te verkrijgen zonder referenties te hoeven beheren.
In de volgende video ziet u hoe u beheerde identiteiten kunt gebruiken:
Hier ziet u een paar voordelen van het gebruik van beheerde identiteiten:
- U hoeft geen referenties te beheren. Referenties zijn ook voor u niet toegankelijk.
- U kunt beheerde identiteiten gebruiken om te verifiëren bij elke resource die ondersteuning biedt voor Microsoft Entra-verificatie, inclusief uw eigen toepassingen.
- Beheerde identiteiten kunnen zonder extra kosten worden gebruikt.
Notitie
Beheerde identiteiten voor Azure-resources is de nieuwe naam voor de service die eerder de naam Managed Service Identity (MSI) had.
Typen beheerde identiteiten
Er zijn twee typen beheerde identiteit:
Door het systeem toegewezen. Met sommige Azure-resources, zoals virtuele machines, kunt u een beheerde identiteit rechtstreeks op de resource inschakelen. Wanneer u een door het systeem toegewezen beheerde identiteit inschakelt:
- Er wordt een service-principal van een speciaal type gemaakt in Microsoft Entra ID voor de identiteit. De service-principal is gekoppeld aan de levenscyclus van die Azure-resource. Wanneer de Azure-resource wordt verwijderd, wordt de service-principal automatisch voor u verwijderd.
- Standaard kan alleen die Azure-resource deze identiteit gebruiken voor het aanvragen van tokens van Microsoft Entra ID.
- U machtigt de beheerde identiteit om toegang te hebben tot een of meer services.
- De naam van de door het systeem toegewezen service-principal is altijd dezelfde als de naam van de Azure-resource waarvoor deze is gemaakt. Voor een implementatiesite is
<app-name>/slots/<slot-name>
de naam van de door het systeem toegewezen identiteit.
Door de gebruiker toegewezen. U kunt ook een beheerde identiteit maken als een zelfstandige Azure-resource. U kunt een door de gebruiker toegewezen beheerde identiteit maken en deze toewijzen aan een of meer Azure-resources. Wanneer u een door de gebruiker toegewezen beheerde identiteit inschakelt:
- Er wordt een service-principal van een speciaal type gemaakt in Microsoft Entra ID voor de identiteit. De service-principal wordt afzonderlijk beheerd van de resources die deze gebruiken.
- Door de gebruiker toegewezen identiteiten kunnen door meerdere resources worden gebruikt.
- U machtigt de beheerde identiteit om toegang te hebben tot een of meer services.
In de volgende tabel ziet u de verschillen tussen de twee typen beheerde identiteiten:
Eigenschappen | Door het systeem toegewezen beheerde identiteit | Door de gebruiker toegewezen beheerde identiteit |
---|---|---|
Maken | Gemaakt als onderdeel van een Azure-resource (bijvoorbeeld Microsoft Azure Virtual Machines of Azure App Service). | Gemaakt als een zelfstandige Azure-resource. |
Levenscyclus | Gedeelde levenscyclus met de Azure-resource waarmee de beheerde identiteit wordt gemaakt. Wanneer de bovenliggende resource wordt verwijderd, wordt ook de beheerde identiteit verwijderd. |
Onafhankelijke levenscyclus. Moet expliciet worden verwijderd. |
Delen tussen Azure-resources | Kan niet worden gedeeld. Deze kan alleen worden gekoppeld aan één Azure-resource. |
Kan worden gedeeld. Dezelfde door de gebruiker toegewezen beheerde identiteit kan worden gekoppeld aan meer dan één Azure-resource. |
Veelvoorkomende toepassingen | Workloads in één Azure-resource. Workloads die onafhankelijke identiteiten nodig hebben. Bijvoorbeeld een toepassing die op één virtuele machine wordt uitgevoerd. |
Werkbelastingen die worden uitgevoerd op meerdere resources en die één identiteit kunnen delen. Workloads die vooraf moeten worden geautoriseerd voor een beveiligde resource, als onderdeel van een inrichtingsstroom. Werkbelastingen waarbij resources regelmatig worden gerecycled, maar de machtigingen consistent moeten blijven. Bijvoorbeeld een werkbelasting waarbij meerdere virtuele machines toegang moeten hebben tot dezelfde resource. |
Hoe gebruik ik beheerde identiteiten voor Azure-resources?
U kunt beheerde identiteiten gebruiken door de onderstaande stappen te volgen:
- Maak een beheerde identiteit in Azure. U kunt kiezen tussen een door het systeem toegewezen beheerde identiteit of een door de gebruiker toegewezen beheerde identiteit.
- Wanneer u een door de gebruiker toegewezen beheerde identiteit gebruikt, wijst u de beheerde identiteit toe aan de 'bron'-Azure-resource, zoals een virtuele machine, een logische Azure-app of een Azure-web-app.
- Autoriseer de beheerde identiteit zodat deze toegang heeft tot de 'doelservice'.
- Gebruik de beheerde identiteit om toegang te krijgen tot een resource. In deze stap kunt u de Azure SDK gebruiken met de Azure.Identity-bibliotheek. Sommige 'bronresources' bieden connectors die weten hoe beheerde identiteiten voor de verbindingen moeten worden gebruikt. In dat geval gebruikt u de identiteit als een functie van die 'bronresource'.
Welke Azure-services bieden ondersteuning voor de functie?
Beheerde identiteiten voor Azure-resources kunnen worden gebruikt voor verificatie bij services die ondersteuning bieden voor Microsoft Entra-verificatie. Zie Services die ondersteuning bieden voor beheerde identiteiten voor Azure-resources voor een lijst met ondersteunde Azure-services.
Welke bewerkingen kan ik uitvoeren voor beheerde identiteiten?
Met resources die door het systeem toegewezen beheerde identiteiten ondersteunen, kunt u het volgende doen:
- Beheerde identiteiten op resourceniveau in- of uitschakelen.
- Op rollen gebaseerd toegangsbeheer (RBAC) gebruiken om machtigingen te verlenen.
- CRUD-bewerkingen (Create, Read, Update en Delete) in Azure-activiteitenlogboeken weergeven.
- Aanmeldingsactiviteiten weergeven in aanmeldingslogboeken van Microsoft Entra ID.
Als u in plaats daarvan een door een gebruiker toegewezen beheerde identiteit kiest:
- U kunt de identiteiten maken, lezen, bijwerken en verwijderen.
- U kunt RBAC-roltoewijzingen gebruiken om machtigingen te verlenen.
- Door de gebruiker toegewezen beheerde identiteiten kunnen voor meer dan één resource worden gebruikt.
- CRUD-bewerkingen zijn beschikbaar voor controle in Azure-activiteitenlogboeken.
- Aanmeldingsactiviteiten weergeven in aanmeldingslogboeken van Microsoft Entra ID.
Bewerkingen op beheerde identiteiten kunnen worden uitgevoerd met behulp van een Azure Resource Manager-sjabloon, in Azure Portal, met Azure CLI, PowerShell en REST API's.
Volgende stappen
- Inleiding en richtlijnen voor ontwikkelaars
- Een door het VM-systeem toegewezen beheerde identiteit gebruiken voor toegang tot Resource Manager
- Beheerde identiteiten gebruiken voor App Service en Azure Functions
- Beheerde identiteiten gebruiken met Azure Container Instances
- Beheerde identiteiten implementeren voor Microsoft Azure-resources
- Workloadidentiteitsfederatie gebruiken voor beheerde identiteiten voor toegang tot met Microsoft Entra beveiligde resources zonder geheimen te beheren