此术语表定义了与 Azure 资源托管标识及其更广泛的生态系统相关的关键术语和概念。
A
应用程序对象 :Microsoft Entra ID 中应用程序的全局唯一配置。 托管标识没有应用程序对象,只有服务主体对象。
Azure 实例元数据服务(IMDS) :一个 REST 终结点,可用于通过 Azure 资源管理器创建的所有 VM。 IMDS 提供对托管标识令牌的访问权限,而无需凭据。
Azure 资源管理器 :Azure 的部署和管理服务,提供用于创建、更新和删除资源的管理层。
C
工作负荷标识的条件访问 :可应用于组织拥有的服务主体的安全策略,以基于位置和风险等条件控制访问。
持续访问评估(CAE) :一项功能,为工作负荷标识提供实时强制条件访问策略和风险信号,提供即时吊销功能。
控制平面 :对 Azure 资源执行的管理作,例如创建、更新或删除资源。 不同于数据平面作。
凭据轮换 :定期更改身份验证凭据的过程。 托管标识会自动处理 90 天证书过期和 45 天轮换周期。
D
数据平面 :与资源提供的数据或功能进行交互的作,例如从存储帐户读取或查询数据库。
设备标识 :表示物理或虚拟设备(例如台式计算机、移动设备或 IoT 传感器)的计算机标识类型。
F
联合标识凭据(FIC) :允许托管标识用作Microsoft Entra 应用程序上的凭据的配置,从而启用工作负荷标识联合。
H
人类标识 :表示人员的标识,包括员工、外部用户、客户、顾问、供应商和合作伙伴。
I
标识 :可以进行身份验证和授权访问资源的目录对象。 在托管标识上下文中,指人工标识和工作负荷标识。
隔离范围 :用户分配的托管标识的属性,用于确定标识是否可以跨区域(无)或仅在单个区域(区域)内使用。
L
最低特权 :一种安全原则,仅向用户和服务授予执行其功能所需的最低权限。
生命周期管理 :通过更新到删除(包括适当清理权限和资源)管理标识的过程。
长生存期令牌(LLT) :长时间访问令牌(最多 24 小时)与持续访问评估一起使用,这些令牌受持续安全检查的约束。
M
计算机标识 :包括设备标识和工作负荷标识的非人类标识。 用于区分人类标识。
托管标识 :Microsoft Entra ID 中的自动托管标识,它为 Azure 资源提供标识,以便在访问支持Microsoft Entra 身份验证的其他资源时进行身份验证。
托管标识参与者角色 :一个内置的 Azure 角色,允许创建、读取、更新和删除用户分配的托管标识。
托管标识操作员角色 :一个内置的 Azure 角色,用于读取和分配用户分配的托管标识给资源。
Microsoft身份验证库(MSAL) :一个库,使应用程序能够从Microsoft Entra ID 获取令牌,以便访问受保护的 Web API。
P
主体 ID :Microsoft Entra ID 中托管标识的服务主体的唯一标识符。
R
区域隔离 :一项安全功能,用于限制用户分配的托管标识仅供同一 Azure 区域内的资源使用。
资源 ID :Azure 资源的唯一标识符,格式如下 /subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/{resource-provider}/{resource-type}/{resource-name}。
Role-Based 访问控制(RBAC) :Azure 的授权系统,基于角色分配为 Azure 资源提供精细的访问管理。
S
服务主体 :特定Microsoft Entra 租户中应用程序对象的本地表示形式。 所有托管标识都有服务主体,但并非所有服务主体都是托管标识。
源资源 :在托管标识上下文中,分配有托管标识的 Azure 资源(例如虚拟机或应用服务)。
System-Assigned 托管标识 :作为 Azure 资源的一部分创建的托管标识,并共享相同的生命周期。 删除资源后,会自动删除标识。
T
目标资源 :在托管标识上下文中,源资源使用托管标识(例如存储帐户或密钥保管库)访问的资源。
令牌终结点 :托管标识用于请求访问令牌以向其他 Azure 服务进行身份验证的 IMDS 终结点。
U
User-Assigned 托管标识 :作为独立的 Azure 资源创建的托管标识,可以分配给多个 Azure 资源并具有独立的生命周期。
W
工作负荷标识 :包括应用程序、服务主体和托管标识的非人类标识类别。 这些标识表示软件工作负载,而不是人工用户。
工作负荷联合 身份验证:允许外部标识提供者访问Microsoft受 Entra ID 保护的资源,而无需管理机密或证书。