Phạm vi quyền cho các danh tính được quản lý do hệ thống và người dùng chỉ định trong Azure khác nhau chủ yếu ở cách chúng được quản lý và áp dụng trên các tài nguyên.
** Danh tính được quản lý được chỉ định bởi hệ thống được tạo tự động khi bạn bật chúng trên tài nguyên Azure, chẳng hạn như máy ảo hoặc chức năng Azure. Vòng đời của các danh tính này được gắn với tài nguyên mà chúng được liên kết; Chúng được tạo khi tài nguyên được tạo và xóa khi tài nguyên bị xóa. Mỗi danh tính được chỉ định hệ thống là duy nhất cho tài nguyên của nó và không thể được chia sẻ trên nhiều tài nguyên. Quyền phải được gán riêng cho từng danh tính, điều này có thể dẫn đến nỗ lực quản trị nhiều hơn nếu nhiều tài nguyên yêu cầu cùng quyền [1] [2] [3].
** Mặt khác, các danh tính được quản lý do người dùng chỉ định được tạo dưới dạng tài nguyên độc lập và có thể được gán cho nhiều tài nguyên Azure. Vòng đời của họ độc lập với các tài nguyên mà chúng được liên kết, có nghĩa là chúng vẫn tồn tại ngay cả khi các tài nguyên bị xóa. Điều này cho phép quản lý các quyền tập trung trên nhiều tài nguyên, vì cùng một danh tính được gán người dùng có thể được sử dụng bởi một số tài nguyên, giảm sự phức tạp của việc quản lý các quyền riêng lẻ cho mỗi tài nguyên [2] [3] [6].
Về phạm vi quyền, danh tính được chỉ định bởi hệ thống được giới hạn trong tài nguyên cụ thể mà họ bị ràng buộc, trong khi danh tính được chỉ định của người dùng có thể được sử dụng để cấp các quyền nhất quán trên nhiều tài nguyên, đơn giản hóa quản trị và đảm bảo kiểm soát truy cập thống nhất [1] [2] [6].
Trích dẫn:
.
.
[3] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/overview
.
[5] https://docs.azure
[6] https://docs.azure.cn/en-us/entra/identity/managed-identities-azure-resources/managed-identity-best-practice-recommendations
[7] https://docs.azure.cn/en-us/role-based-access-control/role-assignments-portal-managed-identity
[8] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/managed-identities-faq