前書き
会社でAzureの資格取得が奨励されていて、この波に乗るしかない!勉強に勤しんでおりました。
だいたいのサービスはほとんど同じやん!余裕やん!素敵やん!と思っていました。
しかし、アカウント周りのところがすんなり理解できなかったので、ちょっと本腰入れて
記事にしてみようと思った次第です。
テナント
一般
テナント【tenant】 の解説
1 ビルなどの一区画の借り主。
2 貸店舗。「15の―が3月に一斉オープン」
MS公式
Azure AD テナントは、組織で使用されるアプリケーションとリソースに ID とアクセス管理 (IAM) 機能を提供します。~(中略)~。
Azure AD テナントは、組織の IT 部門の管理下にある ID セキュリティ境界です。 このセキュリティ境界内では、オブジェクト (ユーザー オブジェクトなど) の管理とテナント全体の設定の構成は、IT 管理者によって制御されます。
組織が少しわかりづらかったのですが、おそらくMSアカウント1つ分を指していると思われます。
テナント配下にあるリソースの権限を与えるものなので、オンプレADでいうところのドメインにあたると思われます。
ただ、Azure ADのテナントには親子関係がなく、すべてのテナントがフラットな関係になっています。
配下にあるリソースの権限を与える、という点から、これはAWSでいうとIAMに対応していると言えそうです。
サブスクリプション
一般
「サブスク」とは、一定の利用料を支払うことで一定の期間だけ商品やサービスが提供される(利用できる)という方式のサービスまたはビジネスモデルのことである。
MS公式
サブスクリプション: リソースの論理コンテナー。 各 Azure リソースは、1 つのサブスクリプションだけに関連付けられます。 Azure の導入はサブスクリプションの作成から始まります。
調べてたら弊社のブログ記事が出てきてびっくり
サブスクリプションはテナントの下位概念で、必ず1つのテナントに紐づくみたい。
1つのテナント下で、料金請求や使用権限などを分割したときに使用する。たとえば、開発環境用のサブスクリプションと本番環境ようのサブスクリプション、みたいに。
環境を分離する、という点から、これもまたAWSでいうとAWSアカウントに対応していると言えそうです。
AWSに慣れていたので、環境ごとにアカウントを分けるのが当然だと思っていたのですが、Azureではサブスクリプションごとに権限を分けるんでしょうね。
サブスクリプション = AWSアカウント
Azureアカウント(MSアカウント?) = Organizationのマスターアカウント
と考えればしっくりくる気がする。
ディレクトリ
一般
ディレクトリ [directory]
フロッピーやハードディスクの中のファイル情報を管理する概念。また、その部分。
MS公式
Azure AD ディレクトリ:
各 Azure AD テナントには、信頼された専用のディレクトリが 1 つ用意されます。 ディレクトリには、テナントのユーザー、グループ、アプリケーションが含まれています。 ディレクトリを使用して、テナント リソースに対する ID とアクセスの管理機能を管理します。 ディレクトリは複数のサブスクリプションに関連付けることができますが、各サブスクリプションが関連付けられるディレクトリは 1 つに限られます。
調べたけど、テナントとほぼ同義、でも厳密には違う、みたいな厄介な用語らしい。
資格対策には細かい違いは必要なさそうなので、いったんディレクトリ=テナントとして覚えることにします。
感想
BTCの記事にもあった通り、Azureは権限周りがちょっと特殊なんですね。ここさえ理解できればほかはAWSと大体一緒な感じがしてます。資格対策をしているあなた!ここさえ乗り越えれば合格はすぐそこです。