Вы всегда должны использовать удостоверение управляемой службы, если оно доступно, однако они не являются повсеместными во всем Azure. Список поддерживаемых сервисов поддерживается здесь . Помните, что вызывающая служба должна поддерживать аутентификацию с использованием идентификатора управляемой службы, а вызываемая служба должна иметь возможность аутентификации и авторизации с помощью Azure Active Directory.
Если у вас есть служба, которая напрямую не поддерживает аутентификацию AD (например, CosmosDB), вам все равно нужно хранить ключи и управлять ими, а KeyVault по-прежнему подходит для этого. Это также относится к некоторым сторонним сервисам, таким как Salesforce, AWS, GCP и т. Д., Где «федерация» может отсутствовать. У вас также может быть дополнительная конфиденциальная конфигурация, которую вы не хотите хранить в виде простого текста.
Имейте в виду, что настройки приложений функций теперь могут напрямую ссылаться на KeyVault, что позволяет сэкономить на написании кода и конфигурации для самостоятельного управления этим. Смотрите эту ссылку .