问允许从托管服务标识到Azure函数的无键授权

EN

想象一下我有：

公开http端点的Azure函数(func) (api1)

配置了托管服务标识的Azure应用程序服务(service1) (msi1)

我想以这样的方式配置所有东西：service1可以向api1发出HTTP请求，而api1知道请求来自msi1。此外，我希望能够将Azure门户中的service1配置为允许或不允许访问api1。

基本上，我希望配置Azure门户中哪些应用程序服务能够尽可能多地访问哪些功能(反之亦然)，而不必在应用程序设置中创建和管理API令牌或密钥。

我想强调的是，这是服务到服务- service1不要求用户提供任何登录信息。

我认为这是可能的，但我所遇到的大多数文档都描述了用户通过Microsoft/Facebook/Google/任何方式登录并以这种方式获取访问令牌的情况。我知道我可以在应用程序注册上使用客户端凭据来创建有效的承载令牌；但这不应该是必要的，因为service1是在msi1的安全上下文下执行的。