内容
Azure環境で下記の様な権限設定を行います。
- ①AWSでいうIAMユーザ関連設定 ⇒ Azure Actve Directory関連設定
- ②AWSでいうIAMロール関連設定 ⇒ マネージドID関連設定
AWSの下記設定をAzureで行います。
-
①IAMユーザ関連設定
IAMグループを作成します。EC2読み取り専用のIAMポリシーをIAMグループに紐づけます。
AWSコンソールアクセス可能なIAMユーザを作成しIAMグループに所属させます。
IAMユーザはAWSコンソールからEC2に読み取りアクセスします。 -
②IAMロール関連設定
IAMロールにS3読み取りIAMポリシーを紐づけます。EC2にIAMロールを割り当てます。
IAMロールの情報がインスタンスプロファイルに渡されてS3にアクセス出来る様になります。
前提
- 細かい設定は全て割愛して基本的な設定のみ行います。
- ざっくりとした手順のみ記載します。
- 今回グループではなくユーザにAzureロールを割り当てます。
グループにAzureロールを割り当てるためには「Azure AD Premium P1 または P2 ライセンス」が必要となります。
- 前回の記事(仮想マシン作成・監視・バックアップ設定など)は下記を参照下さい。
Azure構成
下記の環境を作成します。
-
①Azure Active Directory関連設定
AzureADにユーザを作成します。Azureではリソース管理が階層構造となっており、例えば上記「サブスクリプション」に権限を追加すると下位の「リソースグループ」、「リソース」に権限が継承されます。
今回は「リソースグループ」に「閲覧者権限のAzureロール」と作成した「AzureADユーザ」を紐づけます。
AzureADユーザから仮想マシンに読み取りアクセスが可能となります。
なお似たようなものにAzureADロールというものがありますが、下記の通りAzureロールとは別物になり今回は使用しません。 -
Azureロール
仮想マシンの作成、削除などは「リソースを管理するもの」 -
AzureADロール
AzureADユーザの作成、削除など「アクセス権を管理するもの」 -
②マネージドID関連設定
仮想マシンコンソール画面からシステムマネージドIDを払い出します。払い出したマネージドIDに「ストレージBlobデータ閲覧者用」のAzureロールを紐づけます。仮想マシンからBlobストレージにアクセス可能となります。
Azure Active Directory関連手順
AzureADにユーザ作成
- Azure Active Directoryに新規ユーザを作成します。(今回はグループ作成は省略します。)
Azureロールの割り当て
- リソースグループの管理画面から「アクセス制御(IAM)」を選択します。
- 「ロールタブ」から「閲覧者」権限のロールを割り当てます。
- 「メンバータブ」から先ほど作成したユーザを割り当てます。
権限割当確認
- 先ほど作成したユーザでログイン後、仮想マシンの情報を表示出来ることを確認します。また「閲覧者」ロールのため仮想マシンを停止出来ないことを確認します。
マネージドID関連手順
システムマネージドID払出
- 仮想マシンの管理画面から「ID」⇒「システム割り当て済み」を選択後、状態を「オン」にしてマネージドIDを払い出します。
Azureロールの割り当て
- 「Azureロールの割り当て」を選択し「ストレージBLOBデータ閲覧者」用のロールを割り当てます。
