在每个资源需要自己的唯一身份和权限的情况下,首选由系统分配的托管身份,并且在删除资源时应删除身份。这里有一些例子:
1。审核记录和合规性:如果您需要记录执行哪个特定资源,则系统分配的身份是有益的。这是因为每个资源都有自己的身份,使得通过资源而不是通过共享身份进行跟踪动作[5]。
2。权限生命周期管理:如果应与资源一起删除资源许可,则系统分配的身份是理想的。这样可以确保当删除资源时,其相关权限会自动删除,从而降低了孤立权限的风险[5]。
3。需要独立实体的工作负载:对于在单个虚拟机上运行的应用程序或类似的情况,每个资源都需要使用自己的权限集独立运行,因此系统分配的身份是合适的。它们提供了一种直接的方式来管理访问,而无需共享身份的复杂性[1] [2]。
4。无共享访问的快速资源创建:虽然由于服务主要创建的速率限制,但如果每个资源都需要独特的权限并且不需要与其他资源共享身份,则通常可以使用使用用户分配的身份来创建快速资源的创建[5]。但是,由于超出服务主创建限制的潜力,这种情况不太常见。
引用:
[1] https://www.varonis.com/blog/azure-managed-istentities
[2] https://laurakokkarinen.com/authenticate-to-entra-id-protected-protected-apis-with-maned-nideity-nide-no-key-veault-required/
[3] https://www.adaptiv.nz/azure-managed-indistities-why-why-are-you-not-using-them-everywhere/
[4] https://learn.microsoft.com/en-us/entra/enterity/managed-indentities-indentities-indiesities-ientities-iendity-resources/overview-for-developers
[5] https://learn.microsoft.com/en-us/entra/enterity/managed-indiestities-indentities-indiesities-iendities-iendities-iendity-siondity-nidecy-indendity-best-best-practice-ractice-ractice-recmmentations
[6] https://docs.azure.cn/en-us/entra/enterity/managed-indentities-indentities-indiesities-iendities-iendities-iendity-siondity-manage-manage-user-usigh-managed-managed-indistity
[7] https://learn.microsoft.com/en-us/azure/app-service/overview-managed-istentity
[8] https://stackoverflow.com/questions/75930046/how-to-to-run-azure-function-locally-using-usis-usis-shiser-sagemand-maned-sendity-nidentity-configura