Warning: The magic method InvisibleReCaptcha\MchLib\Plugin\MchBasePublicPlugin::__wakeup() must have public visibility in /home/xs280783/koheicloud.com/public_html/wp-content/plugins/invisible-recaptcha/includes/plugin/MchBasePublicPlugin.php on line 37
AzureマネージドIDについてまとめてみた

Azure セキュリティ 技術

AzureマネージドIDについてまとめてみた

2025年2月27日


AzureマネージドIDとは?

Azureリソースへアクセスする際に利用する認証方式の1つ。

ポイント

  • Entra認証をサポートしているサービスにアクセスするためのトークンを取得する際に利用
  • マネージドIDはAzure側で管理される
  • 構成ファイルにアクセス情報(トークン、秘密鍵等)を含めなくて良いため、セキュアなキー管理が実現できる

トークンとは、ワンタイムパスワードを生成するツールの総称。簡単なイメージでいうと、データの鍵(これを持っていると毎回ログインしなくて済む)のようなイメージである。

認証フロー(使用例:Azure VMからKey Vaultにアクセスする)

Azure上から特殊なIPアドレス(リンクローカルアドレス)が割り当てられているAzure Instance Metadata Serviceを経由してEntra IDにトークンを要求するという処理が行われている。

  1. Key Vaultに対してアクセス権を持つマネージドIDをAzure VMに割り当てる
  2. VM内のアプリがIMDS経由でEntraIDとやり取りをし、トークンを取得する
  3. 取得したトークンを用いてKey Vaultからシークレットを読み込み、アクセスする

IMDS(Instance Metadata Service)とは、Azure上の仮想マシン(VM)やApp Serviceなどから、自分自身のインスタンス情報やトークンなどのメタデータにアクセスするためのサービスです。

「シークレット(Secret)」とは、パスワードやAPIキー、証明書などの機密情報のことを指します。
これらはソフトウェア開発・運用において必要不可欠ですが、誤って漏洩すると重大なセキュリティリスクになります。

参考

https://learn.microsoft.com/ja-jp/entra/identity/managed-identities-azure-resources/how-managed-identities-work-vm

マネージドIDには2種類ある

  1. システム割り当てマネージドID
  2. ユーザ割り当てマネージドID

主な特徴は以下の通りである。

システム割り当てマネージドDユーザ割り当てマネージドID
作成方法Azureリソースに紐づいて作成される単独のAzureリソースとして作成する
ライフサイクル作成したリソースに紐付けられ、リソースが削除されるとマネージドIDも削除される独立したライフサイクルを持つ(特定のリソースに紐付けられない)
Azureリソースとの関連付け1つのAzureリソースにのみ紐付けることができる1つのユーザ割り当てマネージドIDを複数のAzureリソースに紐付けることができる

サービスプリンシパルとは?

アプリやスクリプトがAzureリソースにアクセスする際に使用するもの。ユーザ側で行うロール付与はサービスプリンシパルで行われており、サービスプリンシパルを経由して各種リソースにアクセスしている。

以下、サービスプリンシパルとマネージドIDの違いについてChatGPTの回答となります。

まとめ

マネージドIDとは以下のような特徴を持つ認証方式である。

  • Azureリソースにアクセスする際に利用する認証方式の1つ(EntraIDよりアクセストークンを取得)
  • 構成ファイルにアクセス情報を含めないため、セキュアなキー管理を実現できる
  • 2種類(システム割り当てマネージドID、ユーザー割り当てマネージドID)存在する
  • サービスプリンシパルとの違いは、アプリやスクリプトがAzureリソースにアクセスする際に用いる(サービスプリンシパル)か、もしくはAzureリソース同士のアクセスの際に用いるか(マネージドID)

参考

https://qiita.com/shimonishim/items/8d01b18f512eeeae2972

-Azure, セキュリティ, 技術