Azureの基本!
Azure AD、サブスクリプション、リソースグループ位置関係と権限を再整理する -その1-
本稿では、Azureを使い始めたときに一番初めに遭遇し、理解を迫られるAzure Active Directory(Azure AD)、サブスクリプション、リソースグループについて、それらの「位置関係」と「概念」の二つの観点から紹介する。また、第二回ではAzure AD、サブスクリプション、リソースグループとAzureの権限の関係性について紹介予定だ。
対象読者
- これから、AzureのIaaS/PaaSをはじめようとしている方
- 試用クレジットで仮想マシンをAzure上に作ろうとしている、もしくは作ってみたはいいものの、Azure AD、サブスクリプション、リソースグループの関係性がなお理解しづらい方
Azureの階層構造と位置関係
Auzre ADとサブスクリプション、リソースグループの間にはAzure ADをトップとし、以下のような包含関係がある。また、逆の包含関係は成り立たない。
| アイコン | 構成要素 | 保持するもの |
|---|---|---|
 |
Azure AD | ・Azureのユーザー ・サブスクリプション |
 |
サブスクリプション | ・リソースグループ |
 |
リソースグループ | ・Azureの各種リソース(仮想マシンなど) |
Azure Active Directory(Azure AD)
Azure ADはさまざまな機能を有するが、最も重要かつ基本的な機能のひとつにテナントにおけるユーザーID認証基盤としての役割がある。
Azure AD上のIDでAzureへサインインすると、Azureポータルリダイレクトされ、ユーザーが権限を持つAzureの各種資産にアクセスできるようになる。
ユーザーの追加
たとえばシステム構築を手伝ってくれる同僚と同じAzureテナント上で作業を行うには、
Azure ADユーザーに以下いずれかの方法で同僚のユーザーIDを追加する。
- Azure ADに直接ユーザーIDを作成する
- (オンプレミスまたはクラウド上の)Active Directory ドメインコントローラとユーザーIDを連携する。
連携の詳細については、こちらの記事を参照してほしい。
Active Directory?Azure Active Directory?混乱ポイントを整理! - 別のAzure ADからユーザーを招待する
ゲストユーザーとして別のAzure ADテナントのユーザーを招待することも可能だ。
Azure ADのドメイン名
Azure ADのデフォルトのドメインは、〇〇〇〇.onmicrosoft.comである。〇〇〇〇の部分はAzure AD作成時に指定する。
このため、デフォルトではAzure ADに作成されるユーザーIDのUPNサフィックスが「username@nelcolab.onmicrosoft.com」となり、ユーザーによってはなじみのないドメインであることから混乱の原因にもなりうる。
そこで、企業が所有するドメインをカスタムドメインとしてAzure ADに追加で登録することが可能だ。
プライマリドメインをそちらに切り替えれば、Azure ADのドメインがユーザーの慣れ親しんだドメインとなり、「username@nelcolab.jp」のようにカスタムドメインをUPNサフィックスとしたユーザーIDをAzure ADに直接作成し、利用できるようになる。
Azure AD 資料
サブスクリプション
サブスクリプションは「課金請求」と「運用管理」の観点で利用部署ごとや商用サービスごとといった単位で分離するのがおすすめだ。
サブスクリプションは”Azureの階層構造と位置関係”で図示した通り、単一のAzure ADテナントだけに所属する。
課金請求
Azureでは、必ずサブスクリプションを指定しAzureリソースを作成する。このとき、当該リソースの課金メーターがそのサブスクリプションに紐づく形となる。
このような仕組みのため、Azureの請求書はAzureのサブスクリプションの単位で発行される。
仮想マシンや仮想ネットワークといったAzureリソース個別の明細も利用可能だが、リソース数が膨大になってくると部署やサービスごとにいくらAzureを利用したのかをサブスクリプションの請求書をもとに振り分ける労力が無視できなくなってくる。
もっとも単純なのは、出てくるサブスクリプション単位の請求書をそのまま費用として計上してやることだろう。
Azureリソースデプロイ上限値
Azureにおける「リソースのデプロイ上限数」や、「プレビュー機能の利用申請」・「Azureのアクティビティログ」などはサブスクリプションの単位で管理される。したがって、サブスクリプションを分離したほうが管理運用の観点でもシステム間の依存関係を
少なくできるといえるだろう。
Azureリソースのデプロイ上限値を超えてAzureサブスクリプションにリソースをデプロイすることはできない。Azureのサポート窓口にリクエストを上げ、引き上げを依頼することもできるが、同一シリーズの仮想マシンの大量デプロイを予定していたり、Azure SQL Managed Instanceをはじめとした、もともとのデプロイ上限値が少ないタイプのリソースをひとつのサブスクリプション上で展開する予定がある場合は、リソース上限値にいれ、サブスクリプションを分けるかどうかを検討すべきだろう。
リソースグループ
リソースグループとはAzureのリソースを整理して入れておくための箱やフォルダと考えるのがわかりやすい。
サービスが複数のサブシステムにより構成されるようなケースでは、大量のリソースが展開されることが想定されるが、サブシステムごとにリソースグループを分類しておけばリソースグループをクリックするだけで、関連するリソースだけが表示されるようになる。
なお、リソースグループはAzureリソースデプロイの際に所属する必ず指定するリソースであり、仮想マシンや仮想ネットワークといったAzureリソースがサブスクリプション直下に配置されることはない。
なお、”Azureの階層構造と位置関係”で図示した通り、リソースグループはサブスクリプションに複数作成することができるが、サブスクリプションをまたがるようなリソースグループを作成することはできない。
まとめ
Azure AD・サブスクリプション・リソースグループをまとめると以下のようになる。
| アイコン | 構成要素 | 主要な役割 | 包含する要素 |
|---|---|---|---|
|
Azure AD | ・AzureのユーザーID認証基盤 | ・Azureのユーザー ・サブスクリプション |
|
サブスクリプション | ・Azureの課金請求単位 ・独立したAzure環境の単位(上限値、各種申請) |
・リソースグループ |
|
リソースグループ | ・Azureリソースを整理して入れておくための箱 | ・Azureの各種リソース(仮想マシンなど) |
第二回では、Azure AD、サブスクリプション、リソースグループとAzureの権限の関係性について紹介予定だ。
本稿がAzure理解のための一助となれば幸いである。
この記事を書いた人
-
こんにちは!双日テックイノベーション(旧:日商エレクトロニクス)では、Microsoft Azure活用に関する有益な情報を皆様にお届けしていきます。Azure移行、データ活用、セキュリティなどに関するお困りごとや、Microsoft Azureに関する疑問点などお気軽にご相談ください。
ブログにしてほしいネタなどのリクエストもお待ちしております。
この投稿者の最新の記事
- 2024年9月12日ブログ2024年版 最新のデータ活用基盤とは?グローバル企業の事例も紹介!
- 2024年7月16日事例Azureデータ活用基盤導入事例:第一フロンティア生命保険株式会社
- 2024年3月27日ブログデータレイクとは? ~DWHとの違い、メリット、活用例などをわかりやすく解説~
- 2024年3月6日ブログデータカタログとは?~機能、導入のメリット、導入方法まで解説~