システムが割り当てられたマネージドアイデンティティは、各リソースに独自のアイデンティティと権限が必要なシナリオで推奨され、リソースが削除されたときにIDを削除する必要があります。ここにいくつかの例があります:
1.監査ロギングとコンプライアンス:アクションを実行した特定のリソースを記録する必要がある場合、システムが割り当てられたアイデンティティが有益です。これは、各リソースに独自のアイデンティティがあり、共有アイデンティティではなくリソースによってアクションを簡単に追跡できるようにするためです[5]。
2。権限ライフサイクル管理:リソースのアクセス許可をリソースとともに削除する必要がある場合、システムが割り当てられたアイデンティティが理想的です。これにより、リソースが削除されると、関連する権限が自動的に削除され、孤立したアクセス許可のリスクが低下することが保証されます[5]。
3.独立したエンティティを必要とするワークロード:単一の仮想マシンまたは同様のシナリオで実行されるアプリケーションの場合、各リソースは独自のアクセス許可セットで独立して動作する必要があり、システムが割り当てられたアイデンティティが適切です。共有されたアイデンティティの複雑さなしにアクセスを管理する簡単な方法を提供します[1] [2]。
4.アクセスを共有せずに迅速なリソースの作成:サービスプリンシパン作成のレート制限により、ユーザーが割り当てられたアイデンティティは一般に迅速なリソース作成の方が優れていますが、各リソースが一意のアクセス許可を必要とし、他のリソースとアイデンティティを共有する必要がない場合は、システム割り当てされたアイデンティティを使用できます[5]。ただし、このシナリオは、サービスプリンシパルの作成制限を超える可能性があるため、あまり一般的ではありません。
引用:
[1] https://www.varonis.com/blog/azure-managed-identities
[2] https://laurakokkarinen.com/authenticate-to-entra-id-protected-apis-managed-no-key-vault-required/
[3] https://www.adaptiv.nz/azure-managed-identities-why-are- you-not- using-them-envery/
[4] https://learn.microsoft.com/en-us/entra/identity/manage-identities-azure-resources/overview-for-developers
[5] https://learn.microsoft.com/en-us/entra/identity/manage-identities-azure-resources/managed-identity-best-practice-recommendations
[6] https://docs.azure.cn/en-us/entra/identity/manage-identities-azure-resources/how-manage-user-user-signed-managed-identities
[7] https://learn.microsoft.com/en-us/azure/app-service/overview-managed-identity
[8] https://stackoverflow.com/questions/75930046/how-to-run-azure-function-locally-user-user-signed-managed-identity-configura