Azure CLI を使用して Azure VM 上に Azure リソースのマネージド ID を構成する

[アーティクル]
10/28/2023

Azure リソース用マネージド ID は、Microsoft Entra ID の機能です。 Azure リソースのマネージド ID をサポートする各 Azure サービスは、それぞれ固有のタイムラインの下で提供されます。ご利用のリソースに対するマネージド ID の提供状態と既知の問題をあらかじめ確認しておいてください。

Azure リソースのマネージド ID は、Microsoft Entra ID で自動的に管理される ID を Azure サービスに提供します。この ID を使用すると、コード内に資格情報を記述することなく、Microsoft Entra の認証をサポートする任意のサービスに対して認証を行うことができます。

この記事では、Azure CLI を使用して、Azure VM 上に次の Azure リソースのマネージド ID 操作を実行する方法について説明します。

Azure VM 上でシステム割り当てマネージド ID を有効および無効にする
Azure VM 上でユーザー割り当てマネージド ID を追加および削除する

まだ Azure アカウントを持っていない場合は、無料のアカウントにサインアップしてから先に進んでください。

前提条件

Azure リソースのマネージド ID について不明な場合は、「Azure リソースのマネージド ID とは」を参照してください。システム割り当てとユーザー割り当ての両方の種類のマネージド ID の詳細については、「マネージド ID の種類」をご覧ください。

Azure Cloud Shell で Bash 環境を使用します。詳細については、「Azure Cloud Shell の Bash のクイックスタート」を参照してください。
CLI リファレンスコマンドをローカルで実行する場合、Azure CLI をインストールします。 Windows または macOS で実行している場合は、Docker コンテナーで Azure CLI を実行することを検討してください。詳細については、「Docker コンテナーで Azure CLI を実行する方法」を参照してください。
- ローカルインストールを使用する場合は、az login コマンドを使用して Azure CLI にサインインします。認証プロセスを完了するには、ターミナルに表示される手順に従います。その他のサインインオプションについては、Azure CLI でのサインインに関するページを参照してください。
- 初回使用時にインストールを求められたら、Azure CLI 拡張機能をインストールします。拡張機能の詳細については、Azure CLI で拡張機能を使用する方法に関するページを参照してください。
- az version を実行し、インストールされているバージョンおよび依存ライブラリを検索します。最新バージョンにアップグレードするには、az upgrade を実行します。

システム割り当てマネージド ID

このセクションでは、Azure CLI を使用して、Azure VM 上でシステム割り当てマネージド ID を有効および無効にする方法について説明します。

Azure VM の作成中にシステム割り当てマネージド ID を有効にする

システム割り当てマネージド ID を有効にして Azure VM を作成するには、お使いのアカウントに仮想マシン共同作成者ロールの割り当てが必要です。その他の Microsoft Entra ディレクトリロールを割り当てる必要はありません。

az group create を使用して、VM とその関連リソースの管理およびデプロイ用にリソースグループを作成します。代わりに使用するリソースグループが既にある場合は、この手順をスキップできます。
```
az group create --name myResourceGroup --location westus
```
az vm create を使用して VM を作成します。次の例では、--assign-identity パラメーターの要求どおりに、--role と --scope を指定して、システム割り当てマネージド ID を持つ myVM という名前の VM を作成します。 --admin-username および --admin-password パラメーターは、仮想マシンのサインイン用の管理ユーザー名とパスワードを指定します。これらの値は、お使いの環境に合わせて更新してください。
```
az vm create --resource-group myResourceGroup --name myVM --image win2016datacenter --generate-ssh-keys --assign-identity --role contributor --scope mySubscription --admin-username azureuser --admin-password myPassword12
```

既存の Azure VM 上でシステム割り当てマネージド ID を有効にする

VM でシステム割り当てマネージド ID を有効にするには、お使いのアカウントに仮想マシン共同作成者ロールの割り当てが必要です。その他の Microsoft Entra ディレクトリロールを割り当てる必要はありません。

ローカルのコンソールで Azure CLI を使用している場合は、最初に az login を使用して Azure にサインインします。目的の VM が含まれる Azure サブスクリプションに関連付けられたアカウントを使用します。
```
az login
```
az vm identity assign と identity assign コマンドを使用して、既存の VM に対するシステム割り当て ID を有効にします。
```
az vm identity assign -g myResourceGroup -n myVm
```

Azure VM でシステム割り当て ID を無効にする

VM でシステム割り当てマネージド ID を無効にするには、お使いのアカウントに仮想マシン共同作成者ロールの割り当てが必要です。その他の Microsoft Entra ディレクトリロールを割り当てる必要はありません。

システム割り当て ID は不要になったが、ユーザー割り当て ID はまだ必要な仮想マシンがある場合は、次のコマンドを使用します。

az vm update -n myVM -g myResourceGroup --set identity.type='UserAssigned'

システム割り当て ID は不要になった、ユーザー割り当て ID がない仮想マシンがある場合は、次のコマンドを使用します。

注意

値 none では、大文字と小文字が区別されます。小文字にする必要があります。

az vm update -n myVM -g myResourceGroup --set identity.type="none"

ユーザー割り当てマネージド ID

このセクションでは、Azure CLI を使用して、Azure VM に対してユーザー割り当てマネージド ID を追加および削除する方法について説明します。 VM とは異なるリソースグループにユーザー割り当てマネージド ID を作成する場合、マネージド ID の URL を使用して、それを VM に割り当てる必要があります。次に例を示します。

--identities "/subscriptions/<SUBID>/resourcegroups/<RESROURCEGROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER_ASSIGNED_ID_NAME>"

Azure VM の作成中にユーザー割り当てマネージド ID を割り当てる

ユーザー割り当て ID を作成中の VM に割り当てるには、お使いのアカウントに仮想マシン共同作成者ロールとマネージド ID オペレーターロールの割り当てが必要です。その他の Microsoft Entra ディレクトリロールを割り当てる必要はありません。

使用するリソースグループが既にある場合は、この手順をスキップできます。 az group create を使用して、ユーザー割り当てマネージド ID の格納と配置を行うリソースグループを作成します。 <RESOURCE GROUP> と <LOCATION> のパラメーターの値は、必ず実際の値に置き換えてください。 :
```
az group create --name <RESOURCE GROUP> --location <LOCATION>
```
az identity create を使用して、ユーザー割り当てマネージド ID を作成します。 -g パラメーターにはユーザー割り当てマネージド ID を作成するリソースグループを指定し、-n パラメーターにはその名前を指定します。

重要

ユーザー割り当てマネージド ID を作成する場合、名前は文字または数字で始まる必要があり、英数字、ハイフン (-) とアンダースコア (_) の組み合わせを含めることができます。仮想マシンまたは仮想マシンスケールセットへの割り当てが適切に動作するように、名前は 24 文字に制限されています。詳細については、FAQ と既知の問題に関するページを参照してください。
```
az identity create -g myResourceGroup -n myUserAssignedIdentity
```
応答には、次のように、作成されたユーザー割り当てマネージド ID の詳細が含まれています。ユーザー割り当てマネージド ID に割り当てられたリソース ID 値は、次の手順で使用されます。
```
{
    "clientId": "73444643-8088-4d70-9532-c3a0fdc190fz",
    "clientSecretUrl": "https://control-westcentralus.identity.azure.net/subscriptions/<SUBSCRIPTON ID>/resourcegroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<myUserAssignedIdentity>/credentials?tid=5678&oid=9012&aid=73444643-8088-4d70-9532-c3a0fdc190fz",
    "id": "/subscriptions/<SUBSCRIPTON ID>/resourcegroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>",
    "location": "westcentralus",
    "name": "<USER ASSIGNED IDENTITY NAME>",
    "principalId": "e5fdfdc1-ed84-4d48-8551-fe9fb9dedfll",
    "resourceGroup": "<RESOURCE GROUP>",
    "tags": {},
    "tenantId": "733a8f0e-ec41-4e69-8ad8-971fc4b533bl",
    "type": "Microsoft.ManagedIdentity/userAssignedIdentities"    
}
```
az vm create を使用して VM を作成します。次の例では、--assign-identity パラメーターで指定されたとおり、--role と --scope を指定して、新しいユーザー割り当て ID に関連付けられている VM を作成します。 <RESOURCE GROUP>、<VM NAME>、<USER NAME>、<PASSWORD>、<USER ASSIGNED IDENTITY NAME>、<ROLE>、<SUBSCRIPTION> の各パラメーターの値は、必ず実際の値に置き換えてください。
```
az vm create --resource-group <RESOURCE GROUP> --name <VM NAME> --image <SKU linux image>  --admin-username <USER NAME> --admin-password <PASSWORD> --assign-identity <USER ASSIGNED IDENTITY NAME> --role <ROLE> --scope <SUBSCRIPTION> 
```

ユーザー割り当てマネージド ID を既存の Azure VM に割り当てる

ユーザー割り当て ID を VM に割り当てるには、お使いのアカウントに仮想マシン共同作成者ロールとマネージド ID オペレーターロールの割り当てが必要です。その他の Microsoft Entra ディレクトリロールを割り当てる必要はありません。

az identity create を使用してユーザー割り当て ID を作成します。 -g パラメーターにはユーザー割り当て ID を作成するリソースグループを指定し、-n パラメーターにはその名前を指定します。 <RESOURCE GROUP> と <USER ASSIGNED IDENTITY NAME> のパラメーターの値は、必ず実際の値に置き換えてください。

重要

名前に特殊文字 (アンダースコアなど) が含まれるユーザー割り当てマネージド ID の作成は現在サポートされていません。英数字を使用してください。アップデートは後ほどご確認ください。詳しくは、「FAQ と既知の問題」をご覧ください。

az identity create -g <RESOURCE GROUP> -n <USER ASSIGNED IDENTITY NAME>

応答には、次のように、作成されたユーザー割り当てマネージド ID の詳細が含まれています。

{
  "clientId": "73444643-8088-4d70-9532-c3a0fdc190fz",
  "clientSecretUrl": "https://control-westcentralus.identity.azure.net/subscriptions/<SUBSCRIPTON ID>/resourcegroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>/credentials?tid=5678&oid=9012&aid=73444643-8088-4d70-9532-c3a0fdc190fz",
  "id": "/subscriptions/<SUBSCRIPTON ID>/resourcegroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>",
  "location": "westcentralus",
  "name": "<USER ASSIGNED IDENTITY NAME>",
  "principalId": "e5fdfdc1-ed84-4d48-8551-fe9fb9dedfll",
  "resourceGroup": "<RESOURCE GROUP>",
  "tags": {},
  "tenantId": "733a8f0e-ec41-4e69-8ad8-971fc4b533bl",
  "type": "Microsoft.ManagedIdentity/userAssignedIdentities"    
}

az vm identity assign を使用して、ユーザー割り当て ID を VM に割り当てます。 <RESOURCE GROUP> と <VM NAME> のパラメーターの値は、必ず実際の値に置き換えてください。 <USER ASSIGNED IDENTITY NAME> は、前の手順で作成されたユーザー割り当てマネージド ID のリソース name プロパティです。 VM とは異なるリソースグループにユーザー割り当てマネージド ID を作成した場合、マネージド ID の URL を使用する必要があります。
```
az vm identity assign -g <RESOURCE GROUP> -n <VM NAME> --identities <USER ASSIGNED IDENTITY>
```

Azure VM からユーザー割り当てのマネージド ID を削除する

VM からユーザー割り当ての ID を削除にするには、お使いのアカウントに仮想マシン共同作成者ロールの割り当てが必要です。

仮想マシンに割り当てられている唯一のユーザー割り当てマネージド ID の場合は、ID の種類の値から UserAssigned が削除されます。 <RESOURCE GROUP> と <VM NAME> のパラメーターの値は、必ず実際の値に置き換えてください。 <USER ASSIGNED IDENTITY> はユーザー割り当て ID の name プロパティになります。これは、az vm identity show を使用して、仮想マシンの ID セクションで見つけることができます。

az vm identity remove -g <RESOURCE GROUP> -n <VM NAME> --identities <USER ASSIGNED IDENTITY>

VM にシステム割り当てマネージド ID がないときに、ユーザー割り当て ID をすべて削除する場合は、次のコマンドを使用します。

注意