El ciclo de vida de una identidad administrada asignada por el sistema está directamente vinculado al ciclo de vida del recurso azul en el que está habilitado. Cuando se crea una identidad administrada asignada por el sistema, se vincula automáticamente al recurso de Azure (como una máquina virtual o un servicio de aplicaciones) y comparte su ciclo de vida. Esto significa que cuando se elimina el recurso de Azure, la identidad administrada asignada por el sistema también se elimina automáticamente [1] [3] [5]. Este enfoque simplifica la gestión de recursos que no necesitan sobrevivir a su recurso principal.
Por el contrario, una identidad administrada asignada por el usuario se crea como un recurso azul independiente. Su ciclo de vida es independiente de cualquier recurso de Azure específico, lo que permite compartirlo en múltiples recursos [2] [4] [7]. Esto significa que incluso si se eliminan todos los recursos asociados, la identidad administrada asignada por el usuario permanece activa hasta que el usuario elimina explícitamente. Esta flexibilidad es útil para escenarios en los que múltiples recursos necesitan acceder a los mismos servicios o cuando los recursos se reciclan con frecuencia, pero requieren permisos consistentes [2] [3].
Citas:
[1] https://cloudtips.nl/the-magic-of-azure-didenties-%ef%B8%8F-19747c37e652
[2] https://docs.azure.cn/en-us/entra/identity/managed-identity-azure-resources/overview
[3] https://www.varonis.com/blog/azure-genered-identies
[4] https://m365internals.com/2021/11/30/lateral-movement-with-didenties-identies-of-azure-virtual-machines/
[5] https://learn.microsoft.com/en-us/entra/identity/managed-identity-azure-resources/overview
[6] https://blog.johnfolberth.com/azure-managed-identities-user-vs-system-assigned/
[7] https://blueprint.asd.gov.au/design/platform/ididentity/managed/
[8] https://stackoverflow.com/questions/61322079/difference-between-service-prudipal-and-didentity-in-azure