O escopo de permissão para identidades gerenciadas atribuídas ao sistema e atribuídas ao usuário no Azure difere principalmente de como elas são gerenciadas e aplicadas entre os recursos.
** Identidades gerenciadas atribuídas ao sistema são criadas automaticamente quando você as habilita em um recurso do Azure, como uma máquina virtual ou função do Azure. O ciclo de vida dessas identidades está vinculado ao recurso ao qual estão associados; Eles são criados quando o recurso é criado e excluído quando o recurso é excluído. Cada identidade atribuída ao sistema é exclusiva do seu recurso e não pode ser compartilhada em vários recursos. As permissões devem ser atribuídas individualmente a cada identidade, o que pode levar a um esforço mais administrativo se vários recursos exigirem as mesmas permissões [1] [2] [3].
** As identidades gerenciadas atribuídas ao usuário, por outro lado, são criadas como recursos independentes e podem ser atribuídos a vários recursos do Azure. Seu ciclo de vida é independente dos recursos aos quais estão associados, o que significa que eles persistem, mesmo que os recursos sejam excluídos. Isso permite o gerenciamento centralizado de permissões em vários recursos, pois a mesma identidade atribuída ao usuário pode ser usada por vários recursos, reduzindo a complexidade do gerenciamento de permissões individuais para cada recurso [2] [3] [6].
Em termos de escopo de permissão, as identidades atribuídas ao sistema são limitadas ao recurso específico às quais estão vinculados, enquanto as identidades atribuídas ao usuário podem ser usadas para conceder permissões consistentes em vários recursos, simplificando a administração e garantindo o controle uniforme de acesso [1] [2] [6].
Citações:
[1] https://ourcloudnetwork.com/how-to-use-connect-mggraph-identity-with-managed-identities/
[2] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-anaged-identities/
[3] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/overview
[4] https://www.reddit.com/r/azure/comments/xkzxrc/azure_managed_identity_vs_user_assigned_managed/
[5] https://docs.azure.cn/en-us/automation/enable-managed-entity-for-automation
[6] https://docs.azure.cn/en-us/entra/identity/managed-identities-azure-resources/managed-identity-best-practice-recommendations
[7] https://docs.azure.cn/en-us/role baseado em sede-access-control/role-assignments-portal-managed-entity
[8] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/managed-identities-daq