すべてのエージェントには、 ユーザー割り当てマネージド ID (UAMI) があり、その ID と共に自動的に作成されます。 エージェントはこの UAMI を使用して、Azure リソースの認証と対話を行います。 シークレットや資格情報を管理する必要なく、ユーザーに代わって機能します。
アクセス許可レベル
エージェントの作成時に、選択したリソース グループで UAMI に割り当てられる RBAC ロールを決定するアクセス許可レベルを選択します。
| レベル | 付与される内容 | 最適な用途 |
|---|---|---|
| Reader | コアモニタリング役割 + リソースタイプ固有の閲覧者役割 | 読み取り専用診断。 エージェントは、アクションを実行する必要があるときに (OBO を介して) 一時的な昇格を求めます。 |
| 特権 | コア監視ロール + リソースの種類固有の共同作成者ロール | 完全な運用アクセス権。 エージェントは、承認されたアクションを直接実行できます。 |
事前構成済みロール (常に割り当て済み)
選択したレベルに関係なく、次のロールが常に割り当てられます。
| 役割 | Scope | それが可能にする内容 |
|---|---|---|
| Reader | リソース グループ | リソースとプロパティの表示 |
| Log Analytics 閲覧者 | リソース グループ | クエリログとワークスペース |
| 監視リーダー | リソース グループ | メトリックと監視データにアクセスする |
| モニタリング協力者 | Subscription | Azure Monitor アラートの確認と閉じ、監視設定の更新 |
注
エージェントの作成時にサブスクリプション レベルで監視共同作成者ロールを割り当てて、エージェントがすぐに Azure Monitor アラートのライフサイクルを管理 (確認、閉じる) できるようにします。
Privileged を選択した場合、エージェントはマネージド リソース グループで検出されたリソースの種類に基づいて追加の共同作成者ロールを取得します (たとえば、リソース グループに Azure Container Apps リソースが含まれている場合は Container App Contributor)。
既定の状態
エージェントの作成時にリソース グループを割り当てない場合、マネージド ID にはアクセス許可がありません。 エージェントが何かを実行するためのアクセス権を明示的に付与する必要があります。
リソースへのアクセスを許可する
リソース グループをエージェントに割り当て、マネージド ID に RBAC ロールを付与します。
# Grant Reader access to a resource group (view resources, query logs)
az role assignment create \
--assignee <AGENT_MANAGED_IDENTITY_ID> \
--role Reader \
--scope /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP_NAME>
# Grant Reader access to entire subscription (for broader visibility)
az role assignment create \
--assignee <AGENT_MANAGED_IDENTITY_ID> \
--role Reader \
--scope /subscriptions/<SUBSCRIPTION_ID>
# Grant Contributor access to a resource group (modify resources)
az role assignment create \
--assignee <AGENT_MANAGED_IDENTITY_ID> \
--role Contributor \
--scope /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP_NAME>
ヒント
複数のリソース グループ間で読み取り専用アクセスを行う場合は、リソース グループごとにリソース グループではなく、サブスクリプション レベルで 閲覧者 を割り当てます。 書き込みアクセスの場合は、リソース グループ レベルで特定のロールを割り当てます。 エージェントのマネージド ID を見つけるには、エージェント ポータル ([設定]>[Azure の設定]>[ID に移動]) に移動します。 コンテナー アプリ リソースに移動し、 ID を選択し、 オブジェクト (プリンシパル) ID をコピーすることで、Azure portal で直接見つけることもできます。
アクセス許可の変更
マネージド リソース グループの IAM 設定を更新することで、UAMI のアクセス許可はいつでも調整できます。
- より多くのアクセス権を付与する: リソース グループの IAM 設定にロールの割り当てを追加します。
- リソース グループを追加します。 リソース グループをエージェントのスコープに追加すると、UAMI のロールが自動的に割り当てられます。
- リソース グループを削除します。 リソース グループを削除すると、リソース グループへのすべてのアクセスが取り消されます。
注
個々のアクセス許可を削除することはできません。リソース グループ全体のみを削除できます。
権限フロー
エージェントがアクションを実行する必要がある場合は、特定のアクセス許可フローに従います。
このフローは、対話型チャット、インシデント スレッド、スケジュールされた実行、自律操作など、エージェントが行 うすべての 操作に適用されます。
オンビハーフ・オブ (OBO)
マネージド ID にアクションの権限がない場合、エージェントはあなたの権限を代理処理フローを通じて一時的に使用できます。 この状況は、 閲覧者 のアクセス許可レベルを選択した場合に特に一般的です。 エージェントには読み取りアクセス権がありますが、書き込みアクションを実行するには資格情報が必要です。
Warnung
OBO 要求を承認できるのは、 SRE エージェント管理者 ロールを持つユーザーだけです。 標準ユーザーは OBO 承認を提供できません。 個人の Microsoft アカウントは、ロールに関係なく OBO を承認できません。 職場または学校 (Microsoft Entra ID) アカウントのみが、代理トークン交換をサポートします。 詳細については、「 ユーザー ロールとアクセス許可」を参照してください。
例
コンテナー アプリをスケーリングするようにエージェントに依頼しますが、マネージド ID には書き込みアクセス許可がありません。
エージェントは、操作を完了するために資格情報を使用して承認するように求められます。 アクセス許可は 保持されません。代わりに、エージェントは操作の完了後にマネージド ID の使用に戻ります。
OBO を使用する場合
| シナリオ | 何が起きるか |
|---|---|
| 閲覧者レベルのエージェントが動作する必要がある | エージェントには閲覧者アクセス許可がありますが、ユーザーはサービスの再起動を要求します。 エージェントは管理者の承認を要求します。 |
| 自律的なインシデント対応 | エージェントは修復のために起動されますが、マネージドIDにはリーダー権限しかありません。 エージェントは管理者の承認を要求します。 |
| 1 回限り特権操作 | 管理者が持つがエージェントにはない権限を持った対話型セッション。 |
| 個人用アカウント ユーザー | OBO 認可は利用できません。 職場または学校アカウントを持つ管理者は、代わりに承認する必要があります。 |
関連コンテンツ
| 資源 | 共同作業の重要性 |
|---|---|
| ユーザー ロールとアクセス許可 | エージェントでユーザーができること |
| 実行モード | エージェントによる承認の処理方法 |
| 監査エージェントのアクション | エージェントがアクセス許可を使用して行ったことを監査する |