De toestemmingscope voor door systeem toegewezen en door de gebruiker toegewezen beheerde identiteiten in Azure verschilt voornamelijk in hoe ze worden beheerd en toegepast over middelen.
** Systeem-toegewezen beheerde identiteiten worden automatisch gemaakt wanneer u deze inschakelt op een Azure-bron, zoals een virtuele machine of Azure-functie. De levenscyclus van deze identiteiten is gebonden aan de bron waarmee ze worden geassocieerd; Ze worden gemaakt wanneer de bron wordt gemaakt en verwijderd wanneer de bron wordt verwijderd. Elke door het systeem toegewezen identiteit is uniek voor de bron en kan niet worden gedeeld over meerdere bronnen. Machtigingen moeten afzonderlijk worden toegewezen aan elke identiteit, wat kan leiden tot meer administratieve inspanningen als meerdere bronnen dezelfde machtigingen vereisen [1] [2] [3].
** Door de gebruiker toegewezen beheerde identiteiten worden daarentegen gemaakt als zelfstandige bronnen en kunnen worden toegewezen aan meerdere Azure-bronnen. Hun levenscyclus is onafhankelijk van de middelen waarmee ze worden geassocieerd, wat betekent dat ze aanhouden, zelfs als de middelen worden verwijderd. Dit zorgt voor gecentraliseerd beheer van machtigingen over meerdere bronnen, omdat dezelfde door de gebruiker toegewezen identiteit door verschillende bronnen kan worden gebruikt, waardoor de complexiteit van het beheren van individuele machtigingen voor elke bron [2] [3] [6] wordt verminderd.
In termen van toestemmingsbereik zijn door systeem toegewezen identiteiten beperkt tot de specifieke bron waaraan ze zijn gekoppeld, terwijl door gebruikers toegewezen identiteiten kunnen worden gebruikt om consistente machtigingen over meerdere bronnen te verlenen, het beheer van de administratie te vereenvoudigen en uniforme toegangscontrole te waarborgen [1] [2] [6].
Citaten:
[1] https://ourcloudnetwork.com/how-to-use-connect-mggraph-identity-with-managed-identities/
[2] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-managed-identities/
[3] https://learn.microsoft.com/en-us/entra/Identity/Managed-Identities-azure-Resources/OverView
[4] https://www.reddit.com/r/azure/comments/xkzxrc/azure_managed_identity_vs_user_assigned_managed/
[5] https://docs.azure.cn/en-us/automation/enable-managed-identity-for-automation
[6] https://docs.azure.cn/en-us/entra/Identity/Managed-Identities-azure-reesources/Managed-Identity-best-Practice-Regations
[7] https://docs.azure.cn/en-us/role based-access-control/role-assignments-portal-anaged-identity
[8] https://learn.microsoft.com/en-us/entra/Identity/Managed-Identities-azure-Resources/Managed-Identities-faq