Управляемая идентификация, посвященная системе, предпочтительнее в сценариях, где каждый ресурс требует своей собственной уникальной идентичности и разрешений, и идентичность должна быть удалена при удалении ресурса. Вот несколько примеров:
1. Регистрация и соблюдение аудита: если вам необходимо войти в систему, какой конкретный ресурс выполняет действие, идентификаторы, посвященные системе, являются полезными. Это связано с тем, что каждый ресурс имеет свою собственную идентичность, что облегчает отслеживание действий по ресурсам, а не общей идентичностью [5].
2. Управление жизненным циклом разрешений: в тех случаях, когда разрешения на ресурс должны быть удалены вместе с ресурсом, идентичности, назначенные системой, являются идеальными. Это гарантирует, что когда ресурс удаляется, его связанные разрешения автоматически удаляются, снижая риск разрешений с сирот [5].
3. Рабочие нагрузки, требующие независимых объектов: для приложений, работающих на одной виртуальной машине, или аналогичных сценариев, где каждый ресурс должен работать независимо с собственным набором разрешений, подходящие идентификаторы, назначенные системой. Они обеспечивают простой способ управления доступом без сложности общей идентичности [1] [2].
4. Тем не менее, этот сценарий встречается реже из -за потенциала для превышения лимитов основного создания обслуживания.
Цитаты:
[1] https://www.varonis.com/blog/azure-managed-ederity
[2.]
[3.]
[4] https://learn.microsoft.com/en-us/entra/identity/managed-idedities-azure-resources/overview-for-developers
[5] https://learn.microsoft.com/en-us/entra/identity/managed-idedities-azure-resources/managed-identity-best-practice-recommendations
[6] https://docs.azure.cn/en-us/entra/identity/managed-idedities-azure-resources/how-manage-user-assigned-aderated-Edinity
[7] https://learn.microsoft.com/en-us/azure/app-service/overview-managed-identity
[8] https://stackoverflow.com/questions/75930046/how-to-run-azure-function-locally-using-user-assigned-danaged-Edentity-configura