自由気ままに書いちゃおう

好きなことをつらつらと・・・

【Azure】Automationアカウントと実行アカウントについて

前回、仮想マシンの自動停止と自動起動について取り上げております。

www.guri2o1667.work

この際に出てきたAutomationアカウントと実行アカウントについて今回は纏めたいと思います。

■Automationアカウントとは

AzureAutomationを利用するための管理アカウントのような扱いです。
また、Azureサービスとして「Automationアカウント」というサービスそのものが存在します。

f:id:guri2o1667:20211102150324p:plain


1 つのAutomationアカウントでリソースを管理できます。
Automationアカウントは、リージョン/リソースグループ/サブスクリプションに紐づきます。

f:id:guri2o1667:20211102150143p:plain


Automationアカウントが提供/管理する機能は、
Azureポータルの左ペインをみることでイメージができるかと思います。
主に「構成管理」「更新プログラムの管理」「プロセスオートメーション」「共有リソース」などの機能があります。

■実行アカウントとは

Automationアカウントの一機能として存在しているものであり、Azureサービスではありません。
実行アカウントはAzureリソースを管理するための認証役です。

f:id:guri2o1667:20211102150947p:plain

■実行アカウントが作成されたときに自動的に実行される内容について

実行アカウントは作成時に以下のタスクが自動的に実行されています。

Azure Automation アカウントの認証の概要 | Microsoft Docs


① AzureADアプリケーションとして登録される。

「Azure ActiveDirectory」>「管理」>「アプリの登録」をクリックすると、実行アカウントが登録されていることを確認できます。

f:id:guri2o1667:20211102153138p:plain

② 実行アカウントに「AzureRunAsCertificate」という証明書が付与されます。

f:id:guri2o1667:20211102161428p:plain



注意点ですが、Azureポータルから作成した実行アカウントの自己署名証明書の有効期限が1年間です。。。
そのため、このままだと更新作業を実施する必要があります。

Azure Automation の実行アカウントを管理する | Microsoft Docs


③実行アカウントに「AzureRunAsConnection」という接続情報が付与されます。

f:id:guri2o1667:20211102154117p:plain

記録されている接続情報には、
・アプリケーションID
・サムプリント
・サブスクリプションID
・テナントID
です。

④実行アカウントのサービスプリンシパルがAzureADで生成されます。

AzureADアプリケーションに紐づくサービスプリンシパルが生成されます。
Azure Automation アカウントの認証の概要 | Microsoft Docs

f:id:guri2o1667:20211102162014p:plain


サービスプリンシパルに割り当てられるロールは「Contributor」です。

f:id:guri2o1667:20211102164550p:plain

従来のサブスクリプション管理者ロール、Azure ロール、および Azure AD ロール | Microsoft Docs

f:id:guri2o1667:20211102164807p:plain

 

■実行アカウントで利用している証明書の確認方法について

Azureポータルから確認する方法だけでも2種類あります。
① AzureADから確認する方法
② Azure実行アカウントから確認する方法

■① AzureADから確認する方法

1.AzureADを開きます。

2.「管理」>「アプリの登録」をクリックします。

f:id:guri2o1667:20211102165311p:plain

3.対象の実行アカウントをクリックします。

f:id:guri2o1667:20211102165450p:plain



4.左ペインの「管理」>「証明書とシークレット」をクリックします。

f:id:guri2o1667:20211102165523p:plain

5.右ペインの「Certificates」タブに記載の情報を確認します。

f:id:guri2o1667:20211102165604p:plain

■② Azure実行アカウントから確認する方法

1.Automationアカウントを開きます。

2.「アカウント設定」>「実行アカウント」をクリックします。

f:id:guri2o1667:20211102165709p:plain

3.右ペインの「Azure実行アカウント」をクリックします。

f:id:guri2o1667:20211102165737p:plain


4.遷移後の画面で表示される「証明書」欄の情報を確認します。

f:id:guri2o1667:20211102165819p:plain





以上です。