「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -戻る --[[仮想アカウント]] --[[Azure]] > [[RBAC>Role Based Access Control (RBAC)]] ---[[Azure サービス プリンシパル]] ---Azure Managed ID * 目次 [#v9977657] #contents *概要 [#q7be0a44] -[[Azure サービス プリンシパル]]をラップする。 --[[Role Based Access Control (RBAC)]]のアクセス権を付与するために使用される。 --マネージド・サービス ID (MSI) の新しい名前 → マネージド ID。 -簡単になると言うが、何が簡単になるのか? --コードに資格情報を追加しなくても、[[Azure AD>Microsoft Azure Active Directory]]の認証をサポートする~ さまざまなサービス ([[Key Vault]]を含む) に対して認証を行うことができる。 --内部的には、クライアントが[[IMDS>#nd9bc6e9]]に対して、access_tokenを要求する。 -[[仮想アカウント]]的な動きもする(→ [[システム割り当てマネージド ID>#obddc438]])。 --[[Windows認証>認証基盤#m4be745d]]のような感じになる。 --クライアント&サーバでサポートが無い場合、[[Key Vault]]経由で使用する。 *詳細 [#l80fc31d] **用語 [#ve68fa8c] 紐付け ≒ 関連エンティティのID的な。 ***クライアント ID [#g49b9d4c] [[Azure AD>Microsoft Azure Active Directory]]によって生成されるID -初期プロビジョニングの間に --[[Azure]]アプリケーション --[[Azure サービス プリンシパル]] >結び付けられる。 ***プリンシパル ID [#f052525f] -マネージド ID に対する[[Azure サービス プリンシパル]]オブジェクトのオブジェクト ID -[[Role Based Access Control (RBAC)]]のアクセス権を付与するために使用される。 ***Azure Instance Metadata Service (IMDS) [#nd9bc6e9] -クライアント IDに対する証明書が登録される。 -クライアントに、access_tokenを返す。 --クライアントを識別し、 --[[Azure AD>Microsoft Azure Active Directory]]に問い合わせ、 --access_tokenを返す。 **種類 [#i6793bab] ***システム割り当てマネージド ID [#obddc438] [[Azure]] サービス インスタンス上で直接有効にされる。 -この ID を有効にすると、[[Azure]] によって、 --そのインスタンスのサブスクリプションの~ [[Azure AD>Microsoft Azure Active Directory]]テナントに対し、対応するインスタンスの~ 「システム割り当てマネージド ID」が 作成される。 --「システム割り当てマネージド ID」が作成されると、~ その資格情報がインスタンスにプロビジョニングされる。 -「システム割り当てマネージド ID」のライフ サイクルは、 --「システム割り当てマネージド ID」が有効にされた~ [[Azure]] サービス インスタンスに直接関連付けられる。 --インスタンスが削除された場合、[[Azure]] は ---[[Azure AD>Microsoft Azure Active Directory]] の資格情報 ---「システム割り当てマネージド ID」 >を、自動的にクリーンアップする。 ***ユーザー割り当てマネージド ID [#b6edd81c] スタンドアロン [[Azure]] リソースとして作成される。 -作成プロセスで、~ 使用されているサブスクリプションの[[Azure AD>Microsoft Azure Active Directory]]テナントに、~ [[Azure]]が「ユーザー割り当てマネージド ID」を作成する。 -作成された「ユーザー割り当てマネージド ID」は、~ 1 つまたは複数の Azure サービス インスタンスに割り当てることができる。 -「ユーザー割り当てマネージド ID」のライフ サイクルは、~ Azure サービス インスタンスのライフサイクルとは個別に管理される。 **用例 [#a5bf271d] [[コチラ>Azure サービス プリンシパル#h6bfa378]]に併記 *参考 [#m089daec] **Microsoft Docs [#e748f256] -Azure リソースの Azure AD マネージド ID のドキュメント~ https://docs.microsoft.com/ja-jp/azure/active-directory/managed-identities-azure-resources/ --Azure リソースのマネージド ID~ https://docs.microsoft.com/ja-jp/azure/active-directory/managed-identities-azure-resources/overview --マネージド ID をサポートする Azure サービス - Azure AD~ https://docs.microsoft.com/ja-jp/azure/active-directory/managed-identities-azure-resources/services-support-managed-identities ---- Tags: , [[:セキュリティ]], [[:アカウント]], [[:クラウド]], [[:Azure]], [[:Active Directory]], [[:認証基盤]] Tags: [[:セキュリティ]], [[:アカウント]], [[:クラウド]], [[:認証基盤]], [[:Azure]], [[:Active Directory]]