Aller au contenu
Home » Blog » Azure : Identités managées Utilisateur vs Système 

Azure : Identités managées Utilisateur vs Système 

Dans le monde de l’infonuagique, la sécurité des ressources est une priorité absolue. Les identités managées, un concept essentiel dans Microsoft Azure, jouent un rôle crucial dans la gestion des accès et des autorisations. Elles permettent aux applications et aux services d’interagir de manière sécurisée avec d’autres ressources Azure. Dans cet article, nous explorerons les identités managées dans Azure, en nous concentrant sur les différences entre les identités managées système et les identités managées utilisateur, ainsi que sur leurs avantages et leurs inconvénients.

Qu’est-ce qu’une Identité Managée ?

Avant d’entrer dans les détails, clarifions ce qu’est une identité managée (Managed Identity) dans Azure. Une identité managée est une entité sécurisée qui simplifie la gestion des authentifications pour les applications et les services. Elle élimine le besoin de stocker des informations d’identification, comme des clés d’authentification ou des certificats, directement dans le code de l’application. Au lieu de cela, l’identité managée permet aux ressources Azure d’obtenir automatiquement des jetons d’accès pour accéder à d’autres services Azure.

Identité Managée Système vs. Identité Managée Utilisateur

Les identités managées dans Azure se divisent en deux catégories principales : les identités managées système et les identités managées utilisateur.

Identité Managée Système

Une identité managée système est une identité managée attribuée automatiquement à certaines ressources Azure, telles que les machines virtuelles (VM) ou les applications de fonctions Azure (Azure Functions). Elle est spécifiquement associée à la ressource elle-même et a le même cycle de vie que celle-ci.

Avantages :

  1. Facilité d’utilisation : Les identités managées système sont créées automatiquement pour certaines ressources Azure, comme les machines virtuelles (VM). Aucune configuration manuelle n’est nécessaire.
  2. Authentification automatique : Les ressources avec une identité managée système peuvent s’authentifier automatiquement auprès d’autres services Azure sans nécessiter des clés d’authentification.
  3. Simplicité de gestion : La gestion des autorisations et des accès se fait via les rôles Azure, ce qui simplifie la gestion des autorisations.

Inconvénients :

  1. Limitations d’utilisation : Les identités managées système sont spécifiques à une ressource, ce qui signifie qu’elles ne peuvent pas être utilisées par d’autres ressources.
  2. Pas de prise en charge hors Azure : Elles sont conçues pour être utilisées exclusivement dans l’écosystème Azure, ce qui peut poser des problèmes si votre application doit interagir avec des services externes.

Quand utiliser une identité managée système ?

Vous devez prioriser l’utilisation des identités managées système lorsque vous devez donner les droits à une ressource Azure pour s’authentifier et utiliser une autre ressource. Exemple : une application de fonction qui doit accéder à un coffre de clé.

Vous devez également prioriser les identités managées systèmes lorsque vous voulez que l’identité managée ait le même cycle de vie que la ressource. Ce qui signifie qu’elle sera automatiquement supprimée lorsque la ressource sera supprimée.

Identité Managée Utilisateur

Une identité managée utilisateur est une identité managée que vous créez manuellement et que vous pouvez associer à n’importe quelle ressource Azure. Elle offre une flexibilité accrue en permettant à une ressource d’interagir avec d’autres ressources Azure ainsi qu’avec des services en dehors de l’écosystème Azure.

Avantages :

  1. Flexibilité : Les identités managées utilisateur peuvent être créées et associées à n’importe quelle ressource Azure, offrant ainsi une plus grande flexibilité d’utilisation.
  2. Interaction multi-plateforme : Elles peuvent être utilisées pour interagir avec des ressources Azure ainsi qu’avec des services en dehors de l’écosystème Azure.
  3. Personnalisation des autorisations : Vous pouvez définir des autorisations spécifiques pour une identité managée utilisateur en utilisant les rôles Azure.

Inconvénients :

  1. Configuration manuelle : Contrairement aux identités managées système, les identités managées utilisateur doivent être créées et configurées manuellement, ce qui peut nécessiter un effort supplémentaire.
  2. Complexité accrue : La gestion des autorisations peut être plus complexe en raison de la flexibilité offerte par les identités managées utilisateur.

Quand utiliser une identité managée utilisateur ?

Vous devez prioriser le recours à des identités managées utilisateurs dans les cas suivants :

  • Vous devez attribuer la même identité à plusieurs ressources : un exemple concret est le cas d’un produit pour lequel on a besoin d’un App Service et d’une application de fonction. Les deux ressources doivent obtenir des secrets dans le coffre de clé du produit. A ce moment, il pourrait être judicieux d’avoir une seule identité managée utilisateur pour le produit, donner les droits nécessaires et effectuer les configurations pour que les ressources du produit utilisent cette identité managée.
  • Vous devez utiliser l’identité managée hors d’Azure : une identité managée utilisateur n’est pas directement associée à une ressource. Elle peut donc être utilisée pour gérer des autorisations pour des ressources externes comme GitHub Action ou encore la PowerPlatform.
  • Vous utilisez l’automatisation : pour optimiser les couts, certaines entreprises vont utiliser l’automatisation pour créer et supprimer des ressources. L’identité managée système étant associée à la ressource, elle sera automatiquement supprimée. Ce qui veut dire qu’à chaque création des ressources, les droits/rôles doivent être à nouveau attribués aux identités. Ce qui peut poser des problèmes de sécurité si un pipeline d’automatisation peut attribuer les droits. Pour éviter cela, on peut avoir recours aux identités managées utilisateurs, car elles ne seront pas supprimées lorsque les ressources seront détruites. Donc les permissions seront maintenues lors de la recréation des ressources.

Conclusion

Les identités managées dans Azure sont un outil puissant pour améliorer la sécurité et la gestion des accès aux ressources cloud. Le choix entre une identité managée système et une identité managée utilisateur dépend des besoins spécifiques de votre application et de votre écosystème. Les identités managées système offrent une simplicité d’utilisation, tandis que les identités managées utilisateur offrent une flexibilité accrue. En comprenant leurs différences et en choisissant judicieusement, vous pouvez renforcer la sécurité et la gestion de vos ressources Azure.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *