Azure中系统分配和用户分配的托管身份的权限范围主要在于如何在资源跨资源管理和应用它们的方式上有所不同。
**系统分配的托管身份将自动创建,当您在Azure资源(例如虚拟机或Azure函数)上启用它们时。这些身份的生命周期与与之关联的资源有关;当资源删除时创建和删除资源时,它们将创建它们。每个系统分配的身份都是其资源独有的,不能在多个资源上共享。必须将权限单独分配给每个身份,如果多个资源需要相同的权限[1] [2] [3],这可能会导致更多的管理工作。
**另一方面,用户分配的托管身份是作为独立资源创建的,可以分配给多个Azure资源。他们的生命周期独立于与之相关的资源,这意味着即使删除了资源,它们也持续存在。这允许对多个资源的权限进行集中管理,因为可以通过多个资源使用相同的用户分配的身份,从而降低了为每个资源管理单个权限的复杂性[2] [3] [6]。
就许可范围而言,系统分配的身份仅限于与之相关的特定资源,而用户分配的身份可用于授予跨多个资源的一致权限,简化管理并确保统一的访问控制[1] [2] [2] [6]。
引用:
[1] https://ourcloudnetwork.com/how-to-use-connect-mggraph-indistity-with-managed-indistities/
[2] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-yser-asherd-managed-indistities/
[3] https://learn.microsoft.com/en-us/entra/indentity/managed-indentities-indentities-indistities-azure-resources/overview
[4] https://www.reddit.com/r/azure/comments/xkzxrc/azure_managed_identity_identity_vs_user_assigned_managed/
[5] https://docs.azure.cn/en-us/automation/enable-manage-nideity-for-automation
[6] https://docs.azure.cn/en-us/entra/indentity/managed-indiestities-indentities-indiesities-iendities-iendity-siondity-managed-indidity-nidentity-best-practice-ractice-racmendations
[7] https://docs.azure.cn/en-us/role-base--access-control/role-role-assignments-portal-managed-indistity
[8] https://learn.microsoft.com/en-us/entra/indentity/managed-indentities-indentities-indiesities-ientities-ientities-azure-resources/managed-indentities-faq