Οι διαχειριζόμενες ταυτότητες που διαχειρίζονται το σύστημα στο Azure χρησιμοποιούνται κυρίως για φόρτο εργασίας που περιέχονται σε έναν ενιαίο πόρο Azure. Ακολουθούν μερικές από τις κύριες περιπτώσεις χρήσης τους:
1. Οι φόρτοι εργασίας που περιέχονται σε έναν ενιαίο πόρο: Οι διαχειριζόμενες ταυτότητες που έχουν διαχειριστεί από το σύστημα είναι ιδανικές για εφαρμογές ή υπηρεσίες που εκτελούνται σε έναν ενιαίο πόρο Azure, όπως μια εικονική μηχανή ή μια υπηρεσία Azure App. Αυτή η ρύθμιση απλοποιεί τον έλεγχο ταυτότητας και εξαλείφει την ανάγκη για χειροκίνητη διαχείριση διαπιστευτηρίων, καθώς η Azure χειρίζεται τη δημιουργία και τη διαγραφή της ταυτότητας που συνδέεται με τον κύκλο ζωής του πόρου [5].
2. Διαχείριση κύκλου ζωής ελέγχου και δικαιώματα: Ταυτότητες που έχουν επιλεγεί από το σύστημα είναι ευεργετικές όταν πρέπει να καταγράψετε ποιοι συγκεκριμένοι πόροι πραγματοποιούν μια ενέργεια. Επιπλέον, εξασφαλίζουν ότι τα δικαιώματα απομακρύνονται μαζί με τον πόρο, ευθυγραμμίζοντας με την αρχή του ελάχιστου προνομίου και μείωσης των κινδύνων ασφαλείας [3].
3. Ανεξάρτητες ταυτότητες για τους πόρους: Εάν κάθε πόρος απαιτεί ένα μοναδικό σύνολο δικαιωμάτων ή χρειάζεται να διαγραφεί η ταυτότητά του όταν ο πόρος διαγράφεται, οι ταυτότητες που έχουν μεταβληθεί από το σύστημα είναι η προτιμώμενη επιλογή. Αυτή η προσέγγιση εξασφαλίζει ότι κάθε πόρος έχει τη δική του ταυτότητα, η οποία διαχειρίζεται αυτόματα η Azure [5].
Συνολικά, οι διαχειριζόμενες ταυτότητες που έχουν διαχειριστεί από το σύστημα είναι κατάλληλες για σενάρια όπου ο κύκλος ζωής της ταυτότητας πρέπει να αντικατοπτρίζει αυτόν του ίδιου του Azure.
Αναφορές:
[1] https://www.techtarget.com/searchcloudcomputing/tip/managed-identity-vs-service-principal-for-azure-apps
[2] https://docs.azure.cn/en-us/automation/enable-managed-identity-for-automation
[3] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/managed-identity-best-practice-recommendations
[4] https://docs.azure.cn/en-us/entra/identity/managed-identities-azure-resources/managed-identities-faq
[5] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/overview
[6] https://stackoverflow.com/questions/61322079/difference-between-service-principal-and-managed-identies-in-azure
[7] https://www.varonis.com/blog/azure-ganaged-identities
[8] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-formed-identities/