El alcance del permiso para las identidades administradas asignadas por el sistema y asignadas por el usuario en Azure difiere principalmente en cómo se administran y aplican en los recursos.
** Las identidades administradas asignadas por el sistema se crean automáticamente cuando las habilita en un recurso de Azure, como una máquina virtual o una función de Azure. El ciclo de vida de estas identidades está vinculado al recurso con el que están asociados; Se crean cuando el recurso se crea y elimina cuando se elimina el recurso. Cada identidad asignada al sistema es exclusiva de su recurso y no se puede compartir en múltiples recursos. Los permisos deben asignarse individualmente a cada identidad, lo que puede conducir a un esfuerzo más administrativo si múltiples recursos requieren los mismos permisos [1] [2] [3].
** Las identidades administradas asignadas por el usuario, por otro lado, se crean como recursos independientes y se pueden asignar a múltiples recursos de Azure. Su ciclo de vida es independiente de los recursos con los que están asociados, lo que significa que persisten incluso si los recursos se eliminan. Esto permite la gestión centralizada de los permisos en múltiples recursos, ya que varios recursos pueden utilizar la misma identidad asignada por el usuario, reduciendo la complejidad de la gestión de los permisos individuales para cada recurso [2] [3] [6].
En términos de alcance de permiso, las identidades asignadas al sistema se limitan al recurso específico al que están vinculados, mientras que las identidades asignadas por el usuario pueden usarse para otorgar permisos consistentes en múltiples recursos, simplificar la administración y garantizar un control de acceso uniforme [1] [2] [6].
Citas:
[1] https://ourcloudnetwork.com/how-to-use-connect-mggraph-ididentity-with-managed-identies/
[2] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-didentities/
[3] https://learn.microsoft.com/en-us/entra/identity/managed-identity-azure-resources/overview
[4] https://www.reddit.com/r/azure/comments/xkzxrc/azure_managed_identity_vs_user_assigned_managed/
[5] https://docs.azure.cn/en-us/automation/enable-managed-identity-for-automation
[6] https://docs.azure.cn/en-us/entra/ididentity/managed-identity-azure-resources/managed-identity-best-practice-recommendations
[7] https://docs.azure.cn/en-us/role basado-access-control/role-assignments-portal-didentity
[8] https://learn.microsoft.com/en-us/entra/identity/managed-identity-azure-resources/managed-identity-faq