系统分配的托管身份和用户分配的Azure中分配的托管身份之间的主要区别如下:
- 创建和生命周期:设置Azure资源(例如虚拟机或应用服务)时,会自动创建系统分配的托管身份。他们共享与家长资源相同的生命周期;如果删除了资源,则还删除了托管身份。相比之下,用户分配的托管身份被创建为独立的Azure资源并具有独立的生命周期,需要明确的删除[3] [4]。
- 范围和共享:系统分配的托管身份与单个Azure资源相关,并且不能在多个资源上共享。但是,可以在多个资源上共享用户分配的托管身份,从而允许在不同的服务中设置统一的权限[2] [3]。
- 用例:系统分配的托管身份非常适合单个资源中包含的工作负载或需要独立身份时。用户分配的托管身份更适合于多个资源需要共享相同身份的方案,例如具有需要一致访问权限的多个组件的应用程序[3] [4]。
- 管理和维护:两种类型都会自动处理凭证旋转和安全交付,但是用户分配的托管身份在管理跨不同资源的身份方面具有更大的灵活性,这在复杂的环境中可能是有益的[3] [7]。
引用:
[1] https://www.atmosera.com/blog/azure-service-principal-vs-managed-indistity/
[2] https://www.reddit.com/r/azure/comments/xkzxrc/azure_managed_identity_identity_ves_user_assigned_managed/
[3] https://learn.microsoft.com/en-us/entra/indentity/managed-indentities-indentities-indistities-azure-resources/overview
[4] https://docs.azure.cn/en-us/entra/indentity/managed-indentities-indentities-indistities-azure-resources/overview
[5] https://stackoverflow.com/questions/61322079/difference-betweew-service-principal-and-managed-indistities-indiendities-in-azure
[6] https://www.youtube.com/watch?v=tfzijbilwuw
[7] https://learn.microsoft.com/en-us/entra/enterity/managed-indiestities-indentities-indiesities-ientities-iendity-siondity-nideity-nideity-indidity-best-best-practice-ractice-ractice-racmendations
我