什么是 Azure 资源的托管标识？

开发人员面临着一个共同的挑战，那就是如何管理用于保护服务之间通信安全的机密、凭据、证书和密钥。 托管标识使开发人员无需管理这些凭据。

虽然开发人员可以安全地将机密存储在 Azure Key Vault 中，但服务需要一种方法来访问 Azure Key Vault。 托管标识在 Microsoft Entra ID 中提供了一个自动托管标识，供应用程序在连接到支持 Microsoft Entra 身份验证的资源时使用。 应用程序可以使用托管标识来获取 Microsoft Entra 令牌，无需管理任何凭据。

下面是使用托管标识的一些好处：

• 你无需管理凭据， 而且你甚至可能都无法访问凭据。
• 可使用托管标识对支持 Microsoft Entra 身份验证的任何资源（包括你自己的应用程序）进行身份验证。
• 使用托管标识不会产生额外成本。

托管标识分为两种类型：

• 系统分配。 某些 Azure 资源（例如虚拟机）允许直接在资源上启用托管标识。 启用系统分配的托管标识时：

  • 会在 Microsoft Entra ID 中为该标识创建特殊类型的服务主体。 该服务主体与该 Azure 资源的生命周期相关联。 删除该 Azure 资源时，Azure 会自动删除该服务主体。
  • 按照设计，只有该 Azure 资源可使用此标识从 Microsoft Entra ID 请求令牌。
  • 由你授权托管标识对一个或多个服务的访问权限。
  • 系统分配的服务主体的名称始终与创建它时所针对的 Azure 资源的名称相同。 对于部署槽位，其系统分配的标识的名称为 <app-name>/slots/<slot-name>。

• 用户分配。 也可以将托管标识创建为独立的 Azure 资源。 可以创建用户分配的托管标识，并将其分配给一个或多个 Azure 资源。 启用用户分配的托管标识时：

  • 会在 Microsoft Entra ID 中为该标识创建特殊类型的服务主体。 该服务主体与使用它的资源是分开管理的。
  • 用户分配的标识可由多个资源使用。
  • 由你授权托管标识对一个或多个服务的访问权限。

下表显示了这两种托管标识之间的差异：

可以按照以下步骤使用托管标识：

1. 在 Azure 中创建托管标识。 可以在系统分配的托管标识或用户分配的托管标识之间进行选择。
   1. 使用用户分配的托管标识时，需要将该托管标识分配到“源”Azure 资源，例如虚拟机、Azure 逻辑应用或 Azure Web 应用。
2. 授权托管标识，使之有权访问“目标”服务。
3. 使用托管标识来访问资源。 在此步骤中，可以将 Azure SDK 与 Azure.Identity 库配合使用。 一些“源”资源提供了连接器，知道如何使用托管标识进行连接。 在这种情况下，请将标识用作该“源”资源的一项功能。

Azure 资源的托管标识可用于对支持 Microsoft Entra 身份验证的资源进行身份验证。 如需支持的 Azure 服务的列表，请参阅支持 Azure 资源托管标识的服务。

支持系统分配托管标识的资源允许执行以下操作：

• 在资源级别启用或禁用托管标识。
• 使用基于角色的访问控制 (RBAC) 来授予权限。
• 在 Azure 活动日志中查看创建、读取、更新和删除 (CRUD) 操作。
• 在 Microsoft Entra ID 登录日志中查看登录活动。

如果改为选择用户分配的托管标识：

• 可以创建、读取、更新和删除标识。
• 可以使用 RBAC 角色分配来授予权限。
• 可以在多个资源上使用用户分配的托管标识。
• 可以在 Azure 活动日志中查看 CRUD 操作。
• 在 Microsoft Entra ID 登录日志中查看登录活动。

可以使用 Azure 资源管理器模板、Azure 门户、Azure CLI、PowerShell 和 REST API 来执行托管标识的操作。

• 开发人员简介和指南
• 使用 VM 系统分配的托管标识访问资源管理器
• 如何使用应用服务和 Azure Functions 的托管标识
• 如何将托管标识与 Azure 容器实例结合使用
• 实现 Azure 资源托管标识
• 使用托管标识的工作负载标识联合身份验证访问受 Microsoft Entra 保护的资源，无需管理机密