Το πεδίο της άδειας για τις διαχειριζόμενες ταυτότητες που έχουν διαχειριστεί από το σύστημα και τις διαχειριζόμενες ταυτότητες στο Azure διαφέρει κυρίως στον τρόπο με τον οποίο διαχειρίζονται και εφαρμόζονται σε όλους τους πόρους.
** Οι διαχειριζόμενες ταυτότητες που διαχειρίζονται το σύστημα δημιουργούνται αυτόματα όταν τους ενεργοποιείτε σε έναν πόρο Azure, όπως μια εικονική μηχανή ή μια λειτουργία Azure. Ο κύκλος ζωής αυτών των ταυτοτήτων συνδέεται με τον πόρο που συνδέονται με. Δημιουργούνται όταν ο πόρος δημιουργείται και διαγράφεται όταν διαγράφεται ο πόρος. Κάθε ταυτότητα που έχει μεταβληθεί από το σύστημα είναι μοναδική για τον πόρο της και δεν μπορεί να μοιραστεί σε πολλούς πόρους. Οι άδειες πρέπει να εκχωρούνται μεμονωμένα σε κάθε ταυτότητα, η οποία μπορεί να οδηγήσει σε περισσότερη διοικητική προσπάθεια εάν πολλοί πόροι απαιτούν τα ίδια δικαιώματα [1] [2] [3].
** Οι διαχειριζόμενες ταυτότητες που έχουν διαχειριστεί από τους χρήστες, από την άλλη πλευρά, δημιουργούνται ως αυτόνομοι πόροι και μπορούν να εκχωρηθούν σε πολλαπλούς πόρους Azure. Ο κύκλος ζωής τους είναι ανεξάρτητος από τους πόρους με τους οποίους συνδέονται, πράγμα που σημαίνει ότι παραμένουν ακόμη και αν οι πόροι διαγραφούν. Αυτό επιτρέπει την κεντρική διαχείριση των δικαιωμάτων σε πολλαπλούς πόρους, καθώς η ίδια ταυτότητα που έχει μεταβληθεί από το χρήστη μπορεί να χρησιμοποιηθεί από διάφορους πόρους, μειώνοντας την πολυπλοκότητα της διαχείρισης των μεμονωμένων δικαιωμάτων για κάθε πόρο [2] [3] [6].
Από την άποψη του πεδίου εφαρμογής, οι ταυτότητες που έχουν μεταβληθεί από το σύστημα περιορίζονται στον συγκεκριμένο πόρο που συνδέονται με, ενώ οι ταυτότητες που έχουν μεταβληθεί από το χρήστη μπορούν να χρησιμοποιηθούν για τη χορήγηση συνεπών δικαιωμάτων σε πολλαπλούς πόρους, την απλούστευση της διαχείρισης και την εξασφάλιση ομοιόμορφου ελέγχου πρόσβασης [1] [2] [6].
Αναφορές:
[1] https://ourcloudnetwork.com/how-to-use-connect-mggraph-identity-with-managed-identities/
[2] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-formed-identities/
[3] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/overview
[4] https://www.reddit.com/r/azure/comments/xkzxrc/azure_managed_identity_vs_user_assigned_managed/
[5] https://docs.azure.cn/en-us/automation/enable-managed-identity-for-automation
[6] https://docs.azure.cn/en-us/entra/identity/managed-identities-azure-resources/managed-identity-best-practice-recommendations
[7] https://docs.azure.cn/en-us/role-based-access-control/role-assignments-portal-ganaged-identity
[8] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/managed-identities-faq