😽
Azureの権限サービスの名称整理
Azureにおいて、権限を扱うサービスの違いに混乱することがあるため、簡易に整理を実施
- | セキュリティプリンシパル | サービスプリンシパル | マネージドID | ユーザー | グループ |
---|---|---|---|---|---|
何か | Azureでの権限主体をまとめた総称。後続のサービスプリンシパルやマネージドIDなどの総称のことである。 | アプリケーションに付与する権限のこと。Azureリソースではないアプリケーションに対して権限を付与する場合に利用する。そのため、シークレット値などの接続情報を作成する。 | サービスプリンシパルと類似。ただし、Azureリソースにのみ適用できる権限。シークレットなどはAzureの中で管理されるため秘匿性は高い。Azureリソースに対しての権限を付与する際に利用が推奨される。 | 操作を行う一個人 | 操作を行う複数人の集団 |
人が操作するのか・Azureリソースなのかアプリが操作するのかといった操作主体によって、利用する権限は分かれるが、それらを総称してセキュリティプリンシパルと呼ぶ。
サービスプリンシパルとマネージドIDについては、以下の記事においても詳細が記載されている。
任意のクライアント (Azure 上に存在しないものを含む) で使用したい場合はサービス プリンシパルを使用
Azure 上に存在する特定のリソースでのみ使用したい場合はマネージド IDを使用
サービスプリンシパルの場合は、Entra IDに「アプリの登録」を行い、接続情報としてシークレットを作成することで、任意のクライアントが接続情報を使うことができる。
マネージドIDの場合も、Entra IDに登録される。マネージドIDのリソース欄より、テナントIDで確認ができる。
また、Entra IDの「エンタープライズアプリケーション」から、マネージドIDにフィルタをかけることで実態を確認もできる。
Discussion