Azureのサービスプリンシパル作成手順
Azure Portalでのサービスプリンシパル作成から権限割り当てまでの手順の紹介です。
Datadogなどの監視サービスやZabbixなどの監視ソフトを利用してAzureのリソース監視をする事ができます。
Azureリソースの情報を取得するために、サービスプリンシパルを利用したAzure認証が必要になる事があります。
今回は、監視サービスや監視ソフトからAzureのリソースを監視を行う事を想定して、サービスプリンシパルの作成手順を確認します。
Microsoft Entra IDでのアプリケーション登録、クライアントシークレット作成、ロール割り当てまでの手順を確認しています。
Azure Portalでサービスプリンシパルを作成
公式サイトの手順を参考に進めます。
Microsoft Entra アプリを登録し、サービス プリンシパルを作成する
アプリケーションの登録
Microsoft Entra IDでZabbixが利用するアプリケーションを新規登録します。
アプリケーション名はZabbixとしています。
| アプリケーションの新規登録 | |
| Microsoft Entra IDの左側のメニューでアプリの登録を選択します。 |  |
|
アプリケーションの登録画面です。 ※単一のAzureのサブスクリプションへアクセスする想定としているため、この組織ディレクトリのみに含まれるアカウントを選択しています。 |
 |
※画面はZabbixを想定した場合の例です。Datadogの場合はリダイレクトURIや名前をDatadog用に変更します。
クライアントシークレットを追加
クライアントシークレットを作成します。
シークレットの有効期限も指定できます。
今回は180日としています。
| クライアントシークレットの登録 | |
| アプリの登録で作成したアプリケーションを選択します。 |  |
|
左側のメニューで"証明書とシークレット"を選択します。 追加が終わると、シークレット値が発行されます。 |
 |
 |
|
 |
|
※画面はZabbixを想定した場合の例です。シークレット名は監視サービスや監視ソフトに合わせて分かりやすく設定します。
サービスプリンシパルにロールを割り当て
サービスプリンシパルへロールを割り当てます。
今回は監視対象のリソースがあるリソースグループに監視閲覧者のロールを割り当ててます。
※監視対象や監視サービスに合わせて権限の割り当て先をサブスクリプションなどに変えます。
| アクセス制御の設定 | |
| 左側のメニューでアクセス制御(IAM)を選択します。 ロールの割り当ての追加を選択します。 |
 |
| ロールの割り当て追加です。 職務ロールのタブで監視閲覧者を選択します。 |
 |
| アクセスの割り当て先でサービスプリンシパルを選択します。 メンバーは先ほど作成したサービスプリンシパルを指定します。 |
 |
 |
|
| 割り当て内容を確認します。 レビューと割り当てを選択します。 |
 |
アプリケーション(クライアント)IDなどの確認方法
監視サービスや監視ソフトで設定する場合に、アプリケーション(クライアント)IDやディレクトリ(テナント)IDなどを利用する事があります。
設定する値はAzure Portalで確認できます。
但し、クライアント シークレット値はシークレット作成直後しか確認できません。
必ず作成時にコピーするようにします。
| サービスプリンシパルの値 | |
| Azure Portalでもサービスプリンシパルを利用する際に必要な値を確認できます。 |  |
|
|
—広告—
最後に
今回はサービスプリンシパルの作成手順について確認してみました。
ZabbixやDatadogでのサービスプリンシパルを使った認証設定手順についても確認しています。
併せて見て頂けると有難いです。
ZabbixでAzureのリソース情報の取得、監視手順についてはこちらの記事で紹介しています。
https://www.tama-negi.com/2024/07/25/zabbix-azure-template/サービスプリンシパルを利用した、DatadogとAzure接続手順はこちらで紹介しています。