Azure中系统分配的托管身份主要用于单个Azure资源中包含的工作负载。这是他们的一些主要用例:
1。单个资源中包含的工作负载:系统分配的托管身份非常适合在单个Azure资源(例如虚拟机或Azure应用程序服务)上运行的应用程序或服务。此设置简化了身份验证并消除了对手动凭证管理的需求,因为Azure处理与资源生命周期相关的身份的创建和删除[5]。
2。审核日志记录和权限生命周期管理:当您需要记录执行哪个特定资源时,系统分配的身份是有益的。此外,他们确保将权限与资源一起删除,并与特权最少的原则保持一致,并降低了安全风险[3]。
3。资源的独立身份:如果每个资源都需要一组唯一的权限或需要在删除资源时删除其身份,则系统分配的身份是首选的选择。这种方法可确保每个资源都有自己的身份,该身份会自动由Azure [5]进行管理。
总体而言,由系统分配的托管身份适用于身份生命周期应反映Azure资源本身的情况。
引用:
[1] https://www.techtarget.com/searchcloudcomputing/tip/managed-indendity-indistity-ves-service-principal-for-azure-apps
[2] https://docs.azure.cn/en-us/automation/enable-manage-nideity-for-automation
[3] https://learn.microsoft.com/en-us/entra/indentity/managed-indiestities-indentities-indiesities-iendities-iendity-siondity-nideity-nideity-indendity-best-practice-ractice-recommendations
[4] https://docs.azure.cn/en-us/entra/indentity/managed-indiestities-indentities-indistities-ientities-ientities-ientities-iendities-resources/managed-indentities-faq
[5] https://learn.microsoft.com/en-us/entra/indentity/managed-indentities-indentities-indistities-iendity-azure-resources/overview
[6] https://stackoverflow.com/questions/61322079/difference-betweew-service-principal-and-managed-indistities-indistities-in-azure
[7] https://www.varonis.com/blog/azure-managed-istentities
[8] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-yser-shassed-managed-indistities/