Las identidades administradas asignadas por el sistema se prefieren en escenarios en los que cada recurso requiere su propia identidad y permisos únicos, y la identidad debe eliminarse cuando se elimina el recurso. Aquí hay algunos ejemplos:
1. Registro y cumplimiento de auditoría: si necesita registrar qué recurso específico llevó a cabo una acción, las identidades asignadas al sistema son beneficiosas. Esto se debe a que cada recurso tiene su propia identidad, lo que hace que sea más fácil rastrear las acciones por recursos en lugar de por una identidad compartida [5].
2. Gestión del ciclo de vida de permisos: en los casos en que los permisos para un recurso deben eliminarse junto con el recurso, las identidades asignadas al sistema son ideales. Esto asegura que cuando se elimina un recurso, sus permisos asociados se eliminan automáticamente, reduciendo el riesgo de permisos huérfanos [5].
3. Cargas de trabajo que requieren entidades independientes: para aplicaciones que se ejecutan en una sola máquina virtual o escenarios similares en los que cada recurso necesita operar independientemente con su propio conjunto de permisos, las identidades asignadas al sistema son adecuadas. Proporcionan una forma directa de gestionar el acceso sin la complejidad de las identidades compartidas [1] [2].
4. Creación rápida de recursos sin acceso compartido: si bien las identidades asignadas por el usuario generalmente son mejores para la creación rápida de recursos debido a los límites de tarifas en la creación principal del servicio, las identidades asignadas al sistema aún se pueden usar si cada recurso requiere permisos únicos y no necesita compartir una identidad con otros recursos [5]. Sin embargo, este escenario es menos común debido al potencial para exceder los límites de creación de principales del servicio.
Citas:
[1] https://www.varonis.com/blog/azure-genered-identies
[2] https://laurakokkarinen.com/authenticate-to-entra-id-protected-apis-with-managed-identity-no-key-vault-required/
[3] https://www.adaptiv.nz/azure-didentity-identity-why-ear-ear-you-not-using-them-everywhere/
[4] https://learn.microsoft.com/en-us/entra/identity/managed-identity-azure-resources/overview-for-developers
[5] https://learn.microsoft.com/en-us/entra/identity/managed-identity-azure-resources/managed-identity-best-practice-retomes
[6] https://docs.azure.cn/en-us/entra/identity/managed-identies-azure-resources/how-manage-user-signed-didenties ganage-didenties
[7] https://learn.microsoft.com/en-us/azure/app-service/overview-managed-identity
[8] https://stackoverflow.com/questions/75930046/how-to-run-azure-function-locally-using-user-signed-didentity-configuura