Las identidades administradas asignadas por el sistema en Azure se utilizan principalmente para cargas de trabajo contenidas dentro de un solo recurso de Azure. Estos son algunos de sus principales casos de uso:
1. Cargas de trabajo contenidas dentro de un solo recurso: las identidades administradas asignadas por el sistema son ideales para aplicaciones o servicios que se ejecutan en un solo recurso de Azure, como una máquina virtual o un servicio de aplicaciones Azure. Esta configuración simplifica la autenticación y elimina la necesidad de la gestión de credenciales manuales, ya que Azure maneja la creación y eliminación de la identidad vinculada al ciclo de vida del recurso [5].
2. Registro de auditorías y permisos de gestión del ciclo de vida: las identidades asignadas al sistema son beneficiosas cuando necesita registrar qué recursos específicos llevó a cabo una acción. Además, se aseguran de que se eliminen los permisos junto con el recurso, alineándose con el principio de menor privilegio y reduciendo los riesgos de seguridad [3].
3. Identidades independientes para los recursos: si cada recurso requiere un conjunto único de permisos o necesita que su identidad se elimine cuando se elimina el recurso, las identidades asignadas al sistema son la opción preferida. Este enfoque asegura que cada recurso tenga su propia identidad, que Azure administra automáticamente [5].
En general, las identidades gestionadas asignadas por el sistema son adecuadas para escenarios en los que el ciclo de vida de la identidad debe reflejar el del recurso azul en sí.
Citas:
[1] https://www.techtarget.com/searchcloudcomputing/tip/managed-identity-vs-service-principal-for-azure-apps
[2] https://docs.azure.cn/en-us/automation/enable-managed-identity-for-automation
[3] https://learn.microsoft.com/en-us/entra/identity/managed-identity-azure-resources/managed-identity-best-practice-retomes
[4] https://docs.azure.cn/en-us/entra/identity/managed-identity-azure-resources/managed-identity-faq
[5] https://learn.microsoft.com/en-us/entra/identity/managed-identity-azure-resources/overview
[6] https://stackoverflow.com/questions/61322079/difference-between-service-prudipal-and-didentity-in-azure
[7] https://www.varonis.com/blog/azure-genered-identies
[8] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-didentities/