Azure Automanage Machine Configuration のシステム割り当てマネージドIDの設定

このブログシリーズ 「クラウドセキュリティ 実践集」 では、一般的なセキュリティ課題を取り上げ、「なぜ危険なのか？」 というリスクの解説から、 「どうやって直すのか？」 という具体的な修復手順（コンソール、Azure CLI、Terraformなど）まで、分かりやすく解説します。

この記事では、Azure Automanage Machine Configuration（旧称：Azure Policy Guest Configuration）におけるシステム割り当てマネージドIDの実装方法と、アクセスキーからの移行手順を詳しく解説します。

ポリシーの説明

Azure Automanage Machine Configuration（旧称：Azure Policy Guest Configuration）は、仮想マシン内部の設定を監査し、コンプライアンス状態を管理するためのサービスです。この機能は、VM内部のOS設定、アプリケーション構成、セキュリティベースラインへの準拠を継続的に評価します。

本ポリシーは、Machine Configuration エージェントがシステム割り当てマネージドIDを使用してAzureリソースにアクセスし、アクセスキーやシークレットの使用を排除することを確認します。

重要な要件:

• Machine Configuration エージェントバージョン 1.26.24 以降（ApplyAndAutoCorrectモード使用時）
• VMにシステム割り当てマネージドIDが有効化されていること
• 適切なRBACロールの割り当て

修復方法

コンソールでの修復手順

Azure コンソールを使用して、VMゲスト構成拡張機能にシステム割り当てマネージドIDを設定する手順を説明します。

既存VMへのシステム割り当てマネージドIDの有効化

1. Azure Portalにログイン
   • https://portal.azure.com にアクセスしてログイン
2. 仮想マシンの選択
   • 左側のメニューから「仮想マシン」を選択
   • 対象のVMをクリック
3. システム割り当てマネージドIDの有効化
   • VMのメニューから「セキュリティ」→「ID」を選択
   • 「システム割り当て済み」タブを選択
   • 「状態」を「オン」に切り替え
   • 「保存」をクリック
   • 確認ダイアログで「はい」を選択
   • 注意: オブジェクトIDが生成されるまで数分待つ必要があります

   

4. Machine Configuration エージェントの確認
   • VMのメニューから「拡張機能 + アプリケーション」を選択
   • 以下の拡張機能が存在するか確認：
     • Windows: 「AzurePolicyforWindows」または「Microsoft.GuestConfiguration」
     • Linux: 「AzurePolicyforLinux」または「Microsoft.GuestConfiguration」

     

5. Machine Configuration エージェントのインストール（必要な場合）
   • 「+ 追加」をクリック
   • 「Guest Configuration」で検索
   • OSに応じた拡張機能を選択：
     • Windows: 「Guest Configuration extension for Windows」
     • Linux: 「Guest Configuration extension for Linux」
   • 「次へ」→「確認および作成」→「作成」をクリック
   • 重要: 拡張機能のインストールには5-10分かかる場合があります
6. 必要なRBACロールの割り当て
   • リソースグループまたはサブスクリプションレベルで「アクセス制御 (IAM)」を選択
   • 「+ 追加」→「ロールの割り当ての追加」を選択
   • 以下のロールをVMのマネージドIDに割り当て：
     • 読み取り専用監査の場合: 「リーダー」ロール
     • 構成の適用が必要な場合: 「Guest Configuration Resource Contributor」ロール
   • メンバーに VM のシステム割り当てマネージドIDを選択
   • 「確認および割り当て」をクリック

   

Azure Policyを使用した大規模な展開

1. Azure Policyにアクセス
   • 検索バーで「Policy」を検索して選択
2. ポリシー定義の選択
   • 「定義」を選択
   • 検索バーで「Deploy prerequisites to enable Guest Configuration policies」を検索
   • 該当するポリシーを選択
3. ポリシーの割り当て
   • 「割り当て」をクリック
   • スコープを選択（サブスクリプション、リソースグループなど）
   • パラメーターを確認・設定
   • 「確認および作成」→「作成」をクリック
4. 修復タスクの作成
   • 「修復」タブに移動
   • 「修復タスクの作成」をクリック
   • 既存のリソースに対してポリシーを適用

最後に

この記事では、Azure Automanage Machine Configuration におけるシステム割り当てマネージドIDの実装方法と、アクセスキーからの移行手順を詳しく解説しました。

システム割り当てマネージドIDの採用は、ゼロトラストセキュリティの実現に向けた重要なステップです。アクセスキーやシークレットの管理が不要となり、キーローテーションの運用負荷が解消され、Azure AD との統合による完全な監査証跡が実現されます。Machine Configuration との組み合わせにより、継続的なコンプライアンス管理とセキュリティポリシーの自動適用が可能となります。

この問題の検出は弊社が提供するSecurifyのCSPM機能で簡単に検出及び管理する事が可能です。 運用が非常に楽に出来る製品になっていますので、ぜひ興味がある方はお問い合わせお待ちしております。 最後までお読みいただきありがとうございました。この記事が皆さんの役に立てば幸いです。

CSPMについてはこちらで解説しております。併せてご覧ください。

参考情報

Microsoft 公式ドキュメント

• Azure Automanage Machine Configuration の概要
• Machine Configuration エージェントのインストール
• Azure マネージド ID の概要
• システム割り当てマネージド ID の構成
• Machine Configuration のトラブルシューティング

セキュリティベストプラクティス

• Azure セキュリティベンチマーク – ID管理
• CIS Azure Foundations Benchmark v2.0
• Azure Well-Architected Framework – セキュリティの柱