😽

Azureの権限サービスの名称整理

2024/03/29に公開

Azureにおいて、権限を扱うサービスの違いに混乱することがあるため、簡易に整理を実施

- セキュリティプリンシパル サービスプリンシパル マネージドID ユーザー グループ
何か Azureでの権限主体をまとめた総称。後続のサービスプリンシパルやマネージドIDなどの総称のことである。 アプリケーションに付与する権限のこと。Azureリソースではないアプリケーションに対して権限を付与する場合に利用する。そのため、シークレット値などの接続情報を作成する。 サービスプリンシパルと類似。ただし、Azureリソースにのみ適用できる権限。シークレットなどはAzureの中で管理されるため秘匿性は高い。Azureリソースに対しての権限を付与する際に利用が推奨される。 操作を行う一個人 操作を行う複数人の集団

人が操作するのか・Azureリソースなのかアプリが操作するのかといった操作主体によって、利用する権限は分かれるが、それらを総称してセキュリティプリンシパルと呼ぶ。

サービスプリンシパルとマネージドIDについては、以下の記事においても詳細が記載されている。
https://jpazmon-integ.github.io/blog/automation/DifferenceRunAsAccountAndManagedID/#実行アカウントとマネージド-ID-の相違点

任意のクライアント (Azure 上に存在しないものを含む) で使用したい場合はサービス プリンシパルを使用
Azure 上に存在する特定のリソースでのみ使用したい場合はマネージド IDを使用

サービスプリンシパルの場合は、Entra IDに「アプリの登録」を行い、接続情報としてシークレットを作成することで、任意のクライアントが接続情報を使うことができる。
https://active.nikkeibp.co.jp/atcl/act/19/00310/062900013/?P=2

マネージドIDの場合も、Entra IDに登録される。マネージドIDのリソース欄より、テナントIDで確認ができる。
また、Entra IDの「エンタープライズアプリケーション」から、マネージドIDにフィルタをかけることで実態を確認もできる。

Discussion