Azureのシステムが割り当てられ、ユーザーが割り当てられたマネージドアイデンティティの許可範囲は、主にリソース全体で管理および適用される方法が異なります。
**システムが割り当てられたマネージドアイデンティティは、仮想マシンやAzure関数などのAzureリソースで有効にすると、自動的に作成されます。これらのアイデンティティのライフサイクルは、関連するリソースに関連付けられています。リソースが作成されたときに作成され、リソースが削除されたときに削除されます。各システムが割り当てられたアイデンティティは、そのリソースに固有のものであり、複数のリソースで共有することはできません。複数のリソースが同じ権限を必要とする場合、権限は各アイデンティティに個別に割り当てられる必要があります。
**ユーザーが割り当てられたマネージドアイデンティティは、スタンドアロンリソースとして作成され、複数のAzureリソースに割り当てることができます。彼らのライフサイクルは、関連するリソースとは無関係です。つまり、リソースが削除されても持続します。これにより、複数のリソースにわたる権限の集中管理が可能になります。同じユーザーが割り当てられたアイデンティティをいくつかのリソースで使用できるため、各リソースの個々のアクセス許可を管理する複雑さを削減できます[2] [3] [6]。
許可範囲の観点から、システムが割り当てられたアイデンティティは、それらが結び付けられている特定のリソースに限定されますが、ユーザーが割り当てられたアイデンティティを使用して、複数のリソースで一貫したアクセス許可を付与し、管理を簡素化し、均一なアクセス制御を確保することができます[1] [2] [6]。
引用:
[1] https://ourcloudnetwork.com/how-to-use-connect-mggraph-identity-with-managed-identities/
[2] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-managed-identities/
[3] https://learn.microsoft.com/en-us/entra/identity/manage-identities-azure-resources/overview
[4] https://www.reddit.com/r/azure/comments/xkzxrc/azure_managed_identity_vs_user_assigned_managed/
[5] https://docs.azure.cn/en-us/automation/enable-managed-identity-for-automation
[6] https://docs.azure.cn/en-us/entra/identity/manage-identities-azure-resources/managed-identity-best-practice-recommendations
[7] https://docs.azure.cn/en-us/role based-access-contol/role-assignments-portal-managed-identity
[8] https://learn.microsoft.com/en-us/entra/identity/manage-identities-azure-resources/manage-identities-faq