[Azure | Active Directory] 如何为VM分配托管标识

首先要了解的是：托管标识是安全的 Azure Active Directory (Azure AD) 标识，创建的目的是为 Azure 资源提供标识。

使用托管标识的优势

1. 你无需管理凭据， 使用托管标识时，凭据完全受 Azure 管理、轮换和保护。 标识将自动提供，并与 Azure 资源一起删除。 托管标识使 Azure 资源可以与支持 Azure AD 身份验证的所有服务进行通信。

2. 任何人（包括任何全局管理员）都无权访问凭据，因此凭据不会被意外泄露，例如，包含在代码中。

Azure托管标识的使用场景

托管标识最好用于在支持 Azure AD 身份验证的服务之间通信。

源系统请求访问目标服务。 任何 Azure 资源都可以是源系统。 例如，Azure VM、Azure Function 实例和 Azure 应用服务实例支持托管标识。

托管标识类型

有两种类型的托管标识：系统分配的托管标识和用户分配的托管标识。

系统分配的托管标识

• 系统分配的托管标识与 Azure 资源之间为 1:1 关系。 例如，每个 VM 关联一个唯一的托管标识。

• 系统分配的托管标识与 Azure 资源的生命周期相关联。 删除资源时，与之关联的托管标识会自动删除，从而消除了与孤立帐户关联的风险。

用户分配的托管标识

• 用户分配的托管标识的生命周期独立于 Azure 资源，你必须管理生命周期。 删除 Azure 资源时，用户分配的托管标识不会自动删除。

• 可以将单个用户分配的托管标识分配给零个或多个 Azure 资源。

• 可以提前创建这些托管标识，然后分配给资源。

如何为VM分配托管标识

1、创建托管标识

1. 进入到Azure portal中，搜索：Managed Identities

2. 进入到：Managed Identities，创建托管标识，如下图

3. 点击创建 Identity，按钮进入到创建托管标识页面，如下图所示：

4. 创建成功

5. 创建成功后，启用系统分配标识

2、分配系统标识

1. 进入到所要关联标识的VM机器，找到Identity菜单，点击Add按钮添加，如图所示：

2. 可以看到我们之前创建的标识，点击并选择托管标识

3. 点击保存后，可以看到页面中Identity菜单中已经出现所关联的托管标识

注：本文原创由 bluetata 发布于: https://bluetata.blog.csdn.net/ 转载请务必注明出处。