Область разрешения для управляемых идентификационных идентификаторов, назначенных системой, и управляемых пользователей в Azure, отличается главным образом тем, как они управляются и применяются в разных ресурсах.
** Управляемые идентификаторы, назначенные системой, создаются автоматически, когда вы включаете их в ресурс Azure, такой как виртуальная машина или функция Azure. Жизненный цикл этих идентичностей связан с ресурсом, с которым они связаны; Они создаются, когда ресурс создается и удаляется при удалении ресурса. Каждая система, назначенная системой, является уникальной для его ресурса и не может быть общей по нескольким ресурсам. Разрешения должны быть назначены индивидуально для каждой идентификации, что может привести к более административным усилиям, если несколько ресурсов требуют одинаковых разрешений [1] [2] [3].
** С другой стороны, с другой стороны, созданные пользователи созданы как автономные ресурсы и могут быть назначены нескольким ресурсам Azure. Их жизненный цикл не зависит от ресурсов, с которыми они связаны, что означает, что они сохраняются, даже если ресурсы удалены. Это позволяет централизованному управлению разрешениями по нескольким ресурсам, так как одну и ту же назначенную пользователем идентичность может использоваться несколькими ресурсами, снижая сложность управления отдельными разрешениями для каждого ресурса [2] [3] [6].
С точки зрения объема разрешения, идентификации, назначенные системой, ограничены конкретным ресурсом, с которым они привязаны, в то время как идентификаторы, назначенные пользователем, могут использоваться для предоставления последовательных разрешений по нескольким ресурсам, упрощения администрирования и обеспечения единого контроля доступа [1] [2] [6].
Цитаты:
[1] https://ourcloudnetwork.com/how-to-use-connect-mggraph-identity-with-managed-idedities/
[2] https://www.red-gate.com/simple-talk/cloud/azure/azure-funct-and-user-assigned-managed-idedities/
[3] https://learn.microsoft.com/en-us/entra/identity/managed-idedities-azure-resources/overview
[4] https://www.reddit.com/r/azure/comments/xkzxrc/azure_managed_identity_vs_user_assigned_managed/
[5] https://docs.azure.cn/en-us/automation/enable- Managed-ideity-for-automation
[6] https://docs.azure.cn/en-us/entra/identity/managed-idedities-azure-resources/managed-identity-best-practice-reecommendations
[7] https://docs.azure.cn/en-us/role на основе access-control/role-assignments-portal- Mananaged-Enidentity
[8] https://learn.microsoft.com/en-us/entra/identity/managed-idedities-azure-resources/managed-idedities-faq