как лучше всего использовать функцию управляемых удостоверений для кластера AKS?

В настоящее время кластеру службы Azure Kubernetes (AKS) (в частности, облачному провайдеру Kubernetes) требуется субъект-служба для создания дополнительных ресурсов, таких как балансировщики нагрузки и управляемые диски в Azure. Либо вы должны указать субъект-службу, либо AKS создаст его от вашего имени. Субъекты-службы обычно имеют срок действия. Кластеры в конечном итоге достигают состояния, в котором субъект-служба должен быть обновлен, чтобы поддерживать работу кластера. Управление субъектами-службами усложняет процесс.

Управляемые удостоверения по сути являются оболочкой субъектов-служб и упрощают управление ими. Дополнительные сведения см. в статье об управляемых удостоверениях для ресурсов Azure.

AKS создает два управляемых удостоверения:

Назначаемое системой управляемое удостоверение: удостоверение, которое поставщик облачных служб Kubernetes использует для создания ресурсов Azure от имени пользователя. Жизненный цикл назначенного системой удостоверения привязан к жизненному циклу кластера. Удостоверение удаляется при удалении кластера. Назначаемое пользователем управляемое удостоверение: удостоверение, которое используется для авторизации в кластере. Например, назначенное пользователем удостоверение используется для авторизации AKS для использования реестров контейнеров Azure (ACR) или для авторизации kubelet для получения метаданных из Azure. Надстройки также аутентифицируются с использованием управляемого удостоверения. Для каждой надстройки AKS создает управляемое удостоверение, которое действует в течение всего срока службы надстройки. Для создания и использования собственной виртуальной сети, статического IP-адреса или подключенного диска Azure, где ресурсы находятся за пределами группы ресурсов MC_*, используйте PrincipalID кластера для выполнения назначения роли. Дополнительные сведения о назначении ролей см. в статье Делегирование доступа к другим ресурсам Azure.

короче - для облегчения управления