La portée de l'autorisation pour les identités gérées attribuées par le système et attribuées par l'utilisateur dans Azure diffère principalement de la façon dont ils sont gérés et appliqués entre les ressources.
** Les identités gérées attribuées par le système sont créées automatiquement lorsque vous les activez sur une ressource Azure, comme une machine virtuelle ou une fonction Azure. Le cycle de vie de ces identités est lié à la ressource à laquelle ils sont associés; Ils sont créés lorsque la ressource est créée et supprimée lorsque la ressource est supprimée. Chaque identité attribuée par le système est unique à sa ressource et ne peut pas être partagée sur plusieurs ressources. Les autorisations doivent être attribuées individuellement à chaque identité, ce qui peut entraîner un effort plus administratif si plusieurs ressources nécessitent les mêmes autorisations [1] [2] [3].
** Les identités gérées attribuées par l'utilisateur, en revanche, sont créées sous forme de ressources autonomes et peuvent être affectées à plusieurs ressources azure. Leur cycle de vie est indépendant des ressources auxquelles ils sont associés, ce qui signifie qu'ils persistent même si les ressources sont supprimées. Cela permet une gestion centralisée des autorisations sur plusieurs ressources, car la même identité attribuée par l'utilisateur peut être utilisée par plusieurs ressources, réduisant la complexité de la gestion des autorisations individuelles pour chaque ressource [2] [3] [6].
En termes de portée d'autorisation, les identités attribuées par le système sont limitées à la ressource spécifique à laquelle ils sont liés, tandis que les identités attribuées par l'utilisateur peuvent être utilisées pour accorder des autorisations cohérentes sur plusieurs ressources, simplifiant l'administration et garantissant un contrôle d'accès uniforme [1] [2] [6].
Citations:
[1] https://ourcloudnetwork.com/how-to-use-connect-mggraph-identity-with-manged-identities/
[2] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-manged-endentities/
[3] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/overview
[4] https://www.reddit.com/r/azure/comments/xkzxrc/azure_managed_identity_vs_user_assigned_managed/
[5] https://docs.azure.cn/en-us/automation/enable-manged-identity-for-automation
[6] https://docs.azure.cn/en-us/entra/identity/managed-identinties-azure-resources/managed-identity-best-practice-recommendations
[7] https://docs.azure.cn/en-us/role-ased-access-control/role-assignments-portal-manged-identity
[8] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/managed-Identities-Faq