Azure Arc 対応サーバーの ID 管理とアクセス管理

  • [アーティクル]

オンプレミスおよびクラウドベースの ID 管理システムを使用してハイブリッド環境をセキュリティで保護するために、組織では適切なアクセス制御を設計する必要があります。

これらの ID 管理システムが重要な役割を果たします。 Azure Arc 対応サーバーのインフラストラクチャをセキュリティで保護するために信頼性の高いアクセス管理制御の設計と実装に役立ちます。

マネージド ID

作成時、Microsoft Entra ID システム割り当て ID は、Azure Arc 対応サーバーの状態 (たとえば、ハートビートの "最終表示日") を更新するためにのみ使用できます。 この ID に Azure リソースへのアクセスを許可することで、サーバー上のアプリケーションがそれを使用して Azure リソースへのアクセスを有効にすることができるようになります (たとえば、Key Vault(キー・コンテナー)からシークレットを要求するためなど)。 次の手順に従います。

  • サーバー アプリケーションでアクセス トークンを取得し、Azure リソースにアクセスすると同時に、これらのリソースのアクセス制御も計画する、正当なユース ケースを検討します。
  • Azure Arc 対応サーバーの特権ユーザー ロール (Windows のローカル管理者またはハイブリッド エージェント拡張アプリケーション グループのメンバーと Linux 上の himds グループのメンバー) を制御して、システム マネージド ID が誤用されて Azure リソースに不正アクセスされないようにします。
  • Azure RBAC を使用して、Azure Arc 対応サーバー マネージド ID のアクセス許可を制御および管理し、これらの ID に対する定期的なアクセス レビューを実行します。

ロール ベースのアクセス制御 (RBAC)

最小原則に従って"共同作成者"、"所有者"、"Azure Connected Machine リソース管理者" などのロールが割り当てられたユーザー、グループ、アプリケーションは、Azure Arc 対応サーバーでの展開拡張やルートもしくは管理者アクセス許可の効果的な委任などの操作を実行できるようにします。 これらのロールは、起こりうる影響範囲を制限したり、最終的にカスタム ロールに置き換えたりするには、注意して使用する必要があります。

ユーザーの特権を制限し、Azure へのサーバーのオンボードのみを許可するには、Azure Connected Machine のオンボード ロールが適しています。 このロールはサーバーのオンボードにのみ使用でき、サーバー リソースを再オンボードまたは削除することはできません。 アクセス制御の詳細については、「Azure Arc 対応サーバーのセキュリティの概要」を必ず確認してください。

また、Azure Monitor Log Analytics ワークスペースに送信される機密データについても検討してください -- データ自体に同じ RBAC 原則が適用されます。 Azure Arc 対応サーバーは、Log Analytics エージェントによって収集され、関連付けられた Log Analytics ワークスペースに格納されたログ データへのアクセスを付与することができます。 きめ細かい Log Analytics ワークスペース アクセスを実行する方法については、Azure Monitor ログのデプロイの設計に関するページを参照してください。

アーキテクチャ

次の図は、Azure Arc 対応サーバーのロール、アクセス許可、アクション フローを示す参照アーキテクチャを示しています。

Diagram that shows reference architecture that demonstrates the identities, roles, permissions and flow of actions for Azure Arc-enabled servers.

設計上の考慮事項

  • サーバーと Azure で必要なアクセス許可を設定するために、オンボード サーバーにアクセスできる組織内のユーザーを決定します。
  • Azure Arc 対応サーバーを管理するユーザーを決定します。 次に、Azure サービスやその他のクラウド環境からデータを表示できるユーザーを決定します。
  • 必要な ARC オンボード サービス プリンシパルの数が決定されます。 これらの ID の複数が、運用上の責任と所有権に基づく、企業内のさまざまなビジネス機能またはユニットによって所有されているサーバーのオンボードに使用されます。
  • エンタープライズ規模の Azure ランディング ゾーンの ID 管理とアクセス管理の設計領域を確認します。 この領域を検討して、Azure Arc 対応サーバーが全体的な ID とアクセスのモデルに与える影響を評価します。

設計の推奨事項

  • サーバーのオンボードと管理
    • セキュリティ グループを使用して、Azure Arc に大規模にオンボードするために、サーバー上の特定されたユーザーまたはサービス アカウントにローカル管理者権限を割り当てます。
    • Microsoft Entra サービス プリンシパルを使って、サーバーを Azure Arc にオンボードします。サーバーが複数の IT チームによって管理されている分散運用モデルの場合は、複数の Microsoft Entra サービス プリンシパルを使うことを検討してください。
    • 有効期間が短い Microsoft Entra サービス プリンシパルのクライアント シークレットを使います。
    • リソース グループ レベルで Azure Connected Machine のオンボード ロールを割り当てます。
    • Microsoft Entra セキュリティ グループを使い、ハイブリッド サーバー リソース管理者ロールを付与します。 Azure で Azure Arc 対応サーバー リソースを管理するチームと個人にこのロールを付与します。
  • Microsoft Entra ID で保護されたリソースのアクセス
    • オンプレミス サーバー (およびその他のクラウド環境) 上で実行されているアプリケーションに対してマネージド ID を使って、Microsoft Entra ID によって保護されているクラウド リソースにアクセスできるようにします。
    • マネージド ID へのアクセスを制限して、Microsoft Entra アプリケーションのアクセス許可を使って認可されたアプリケーションを許可します。
    • Windows の Hybrid agent extension applications ローカル セキュリティ グループまたは Linux の himds グループを使用して、Azure Arc 対応サーバーから Azure リソース アクセス トークンを要求するアクセス権をユーザーに付与します。

次の手順

ハイブリッド クラウドの導入に関する詳細なガイダンスについては、次のリソースを参照してください。