ある企業のインフラチームが複数のAzure VMにAzure Monitor Agentをインストールし、パフォーマンスメトリクスとイベントログをLog Analytics ワークスペースに送信したいと考えている。VMにAzure Monitor Agentをインストールする際、エージェントがLog Analyticsワークスペースにデータを送信するために必要な認証・認可の設定として最も推奨されるアプローチはどれか。
- A. Azure Active Directory サービスプリンシパルを作成し、クライアントIDとシークレットをVMの環境変数に設定する
- B. Log Analyticsワークスペースのワークスペースキー(プライマリキー)をVMのローカルファイルに保存し、エージェントの設定ファイルに記述する
- C. VMにシステム割り当てマネージドID(System-assigned Managed Identity)を有効化し、Log Analytics ワークスペースへの書き込み権限を付与したロールをシステムIDに割り当てる
- D. Log Analyticsワークスペースを「パブリックアクセス許可」に設定すれば認証なしにエージェントがデータを送信できる
解答と解説を見る
正解: C
Azure Monitor AgentはAzure VMのマネージドIDを使って認証するため、エージェントのインストール前にVMのシステム割り当てマネージドIDを有効化する必要がある。マネージドIDはAzure ADが自動管理するIDであり、パスワードやシークレットをコード・設定ファイルに保存せずにAzureサービスへのアクセスが可能。エージェントが接続するLog Analytics ワークスペースやデータ収集ルール(DCR)に対してVMのIDに「モニタリングメトリクスの発行者」または「ログ分析共同作成者」などの適切なRBACロールを付与することで認証・認可が完結する。選択肢BのワークスペースキーをVMのローカルファイルに保存する方法はMMA(旧エージェント)の方式であり、Azure Monitor Agentではマネージド認証が推奨される。キー漏洩のリスクもあり非推奨。選択肢Aのサービスプリンシパル+シークレットは環境変数にシークレットを保存するため、シークレット管理の負荷とセキュリティリスクが発生する。選択肢Dのパブリックアクセス許可にするという設定はLog Analyticsワークスペースのクエリアクセスポリシーに関するものであり、認証自体をバイパスする設定ではなく誤り。
📚 関連サービスの解説: Log Analytics