自動化で、マネージド ID と Connect-AzAccount と azcopy login を使用する際に気をつけること

自動化で、マネージド ID と Connect-AzAccount と azcopy login を使用する際に気をつけること 2023/05/13 Tetsuya
Odashima GlobalAzure 2023 1

自己紹介 2 ◼ 小田島哲也 (おだしまてつや) • @TetsuyaOoooo ◼
パーソルプロセス＆テクノロジー株式会社所属 ◼ Microsoft MVP for Microsoft Azure (2018-) ◼ コミュニティ活動 • ET ロボコン (etrobo.jp) 実行委員会 • Qiita (qiita.com/tetsuya-ooooo) 投稿、勉強会登壇、など ◼ 最近の趣味 • バイクイジる＞乗る ※リターンライダー

お話しすること 3 ◼ 使用条件 • ひとつの VM 上で • 同一ユーザーで
• マネージド ID を使って Azure リソースを操作する PowerShell スクリプトを同時に複数実行 ◼ お話しすること • Connect-AzAccount で気をつけること • azcopy login で気をつけること IMDS PS1 RBAC PS1 PS1 PS1 PS1 作成割り当てアクセストークン＆操作 Connect-AzAccount -Identity -AccountId $clientId Set-AzContext -Subscription $subscriptionId # これ以降に実処理 … Virtual Machine Azure AD User Assigned Managed ID azcopy login --identity --identity-client-id $clientId # これ以降に実処理 …

Connect-AzAccount で気をつけること① 4 ◼ 使用条件 • ひとつの VM 上で •
同一ユーザーで • マネージド ID を使って Azure リソースを操作する PowerShell スクリプトを同時に複数実行ユーザープロファイル配下に、 Azure コンテキストを保存 (共有) されるここで問題発生！ IMDS PS1 RBAC PS1 PS1 PS1 PS1 作成割り当てアクセストークン＆操作 Virtual Machine Azure AD User Assigned Managed ID ユーザープロファイル Azureコンテキスト (ログイン情報やサブスクリプション) Connect-AzAccount -Identity -AccountId $clientId Set-AzContext -Subscription $subscriptionId # これ以降に実処理 … Connect-AzAccount (Az.Accounts) | Microsoft Learn

Connect-AzAccount で気をつけること① 5 ◼ 使用条件 • ひとつの VM 上で •
同一ユーザーで • マネージド ID を使って Azure リソースを操作する PowerShell スクリプトを同時に複数実行既定では、Azure コンテキストは、 PowerShell セッション間で使用 (共有) するため、自動的に保存される →後続処理でエラー発生！するおそれがある IMDS PS1 RBAC PS1 PS1 PS1 PS1 作成割り当てアクセストークン＆操作 Virtual Machine Azure AD User Assigned Managed ID ユーザープロファイル Azureコンテキスト (ログイン情報やサブスクリプション) 競合 Connect-AzAccount -Identity -AccountId $clientId Set-AzContext -Subscription $subscriptionId # これ以降に実処理 … Azure コンテキストとサインイン資格情報 | Microsoft Learn

Connect-AzAccount で気をつけること①→イケてない回避 6 ◼ 使用条件 • ひとつの VM 上で •
同一ユーザーで • マネージド ID を使って Azure リソースを操作する PowerShell スクリプトを同時に複数実行ユーザーを分けて、 PowerShell スクリプトを実行する？結果、Azure コンテキストの競合は回避 →回避策ではあるが、恒久対応とは言い難い…😒 IMDS PS1 RBAC PS1 PS1 PS1 PS1 作成割り当てアクセストークン＆操作 Virtual Machine Azure AD User Assigned Managed ID Connect-AzAccount -Identity -AccountId $clientId Set-AzContext -Subscription $subscriptionId # これ以降に実処理 …

Connect-AzAccount で気をつけること①→スコープを定めろ 7 ◼ 使用条件 • ひとつの VM 上で •
同一ユーザーで • マネージド ID を使って Azure リソースを操作する PowerShell スクリプトを同時に複数実行 Scope パラメーターで「Process」を指定することで、 Azure コンテキストは ✓ 現在のセッションでのみ有効 ✓ 自動的に保存されない ※既存の Azure コンテキストがクリアされるわけではない IMDS PS1 RBAC PS1 PS1 PS1 PS1 作成割り当てアクセストークン＆操作 Virtual Machine Azure AD User Assigned Managed ID ユーザープロファイル Azureコンテキスト (ログイン情報やサブスクリプション) Connect-AzAccount -Scope Process -Identity -AccountId $clientId Set-AzContext -Scope Process -Subscription $subscriptionId # これ以降に実処理 … Azure コンテキストとサインイン資格情報 > PowerShell セッション間での Azure コンテキストの保存 | Microsoft Learn

Connect-AzAccount で気をつけること② 8 ◼ 使用条件 • ひとつの VM 上で •
同一ユーザーで • マネージド ID を使って Azure リソースを操作する PowerShell スクリプトを同時に複数実行 PowerShell スクリプトを同時に大量に実行 →ここで問題発生！するおそれがある IMDS PS1 RBAC PS1 PS1 PS1 PS1 作成割り当てアクセストークン＆操作 Virtual Machine Azure AD User Assigned Managed ID PS1 … Connect-AzAccount -Scope Process -Identity -AccountId $clientId Set-AzContext -Scope Process -Subscription $subscriptionId # これ以降に実処理 …

Connect-AzAccount で気をつけること② 9 ◼ 使用条件 • ひとつの VM 上で •
同一ユーザーで • マネージド ID を使って Azure リソースを操作する PowerShell スクリプトを同時に複数実行 IMDS への要求は、VM ごとに制限がある ✓ 1 秒あたり 20 個の要求まで ✓ 同時に 5 個の要求まで IMDS PS1 RBAC PS1 PS1 PS1 PS1 作成割り当てアクセストークン＆操作 Virtual Machine Azure AD User Assigned Managed ID PS1 … 制限 Connect-AzAccount -Scope Process -Identity -AccountId $clientId Set-AzContext -Scope Process -Subscription $subscriptionId # これ以降に実処理 … Azure リソースのマネージド ID: よく寄せられる質問 - Microsoft Entra | Microsoft Learn

Connect-AzAccount で気をつけること②→回避せよ (要求減らす) 10 ◼ 使用条件 • ひとつの VM 上で
• 同一ユーザーで • マネージド ID を使って Azure リソースを操作する PowerShell スクリプトを同時に複数実行同時実行する PowerShell スクリプト個数 (IMDS への要求) を減らす？ →ん…😒 IMDS PS1 RBAC PS1 PS1 PS1 PS1 作成割り当てアクセストークン＆操作 Virtual Machine Azure AD User Assigned Managed ID Connect-AzAccount -Scope Process -Identity -AccountId $clientId Set-AzContext -Scope Process -Subscription $subscriptionId # これ以降に実処理 …

Connect-AzAccount で気をつけること②→回避せよ (リトライ) 11 ◼ 使用条件 • ひとつの VM 上で
• 同一ユーザーで • マネージド ID を使って Azure リソースを操作する PowerShell スクリプトを同時に複数実行 Connect-AzAccount では IMDS のスロットリングを検知して、リトライする仕組みが実装しかし、このリトライの回数を超えてエラーになる可能性もある → (必要に応じて) リトライを実装 IMDS PS1 RBAC PS1 PS1 PS1 PS1 作成割り当てアクセストークン＆操作 Virtual Machine Azure AD User Assigned Managed ID PS1 … $isSuccessed = $false do { try { Connect-AzAccount -Scope Process -Identity -AccountId $clientId $isSuccessed = $true } catch { # リトライするための処理 } } while (!$isSuccessed -and …) # ループの続行条件 Set-AzContext -Scope Process -Subscription $subscriptionId # これ以降に実処理 …

参考：再試行のガイダンス 12 仮想マシン上でマネージド ID を使用してアクセストークンを取得する - Microsoft Entra |
Microsoft Learn

azcopy login で気をつけること 13 ◼ 使用条件 • ひとつの VM 上で
• 同一ユーザーで • マネージド ID を使って Azure リソースを操作する PowerShell スクリプトを同時に複数実行ユーザープロファイル配下に、ログイン情報を保存するここで問題発生！ IMDS PS1 RBAC PS1 PS1 PS1 PS1 作成割り当てアクセストークン＆操作 Virtual Machine Azure AD User Assigned Managed ID ユーザープロファイルログイン情報 azcopy login --identity --identity-client-id $clientId # これ以降に実処理 … azcopy login | Microsoft Learn

azcopy login で気をつけること 14 ◼ 使用条件 • ひとつの VM 上で
• 同一ユーザーで • マネージド ID を使って Azure リソースを操作する PowerShell スクリプトを同時に複数実行キャッシュされたログイン情報は、 PowerShell セッション間で共有できてしまう →後続処理でエラー発生！するおそれがある IMDS PS1 RBAC PS1 PS1 PS1 PS1 作成割り当てアクセストークン＆操作 Virtual Machine Azure AD User Assigned Managed ID ユーザープロファイルログイン情報競合 azcopy login --identity --identity-client-id $clientId # これ以降に実処理 …

azcopy login で気をつけること→使うな 15 ◼ 使用条件 • ひとつの VM 上で
• 同一ユーザーで • マネージド ID を使って Azure リソースを操作する PowerShell スクリプトを同時に複数実行残念ながら azcopy login では困難… Connect-AzAccount -Scope Process で Azure に接続し、 azcopy copy などを行う場合は ✓ SAS トークンを取得 ✓ SAS URI を生成 IMDS PS1 RBAC PS1 PS1 PS1 PS1 作成割り当てアクセストークン＆操作 Virtual Machine Azure AD User Assigned Managed ID ユーザープロファイル Azureコンテキスト (ログイン情報やサブスクリプション) Connect-AzAccount -Scope Process -Identity -AccountId $clientId Set-AzContext -Scope Process -Subscription $subscriptionId $srcSASToken = New-AzStorageContainerSASToken … $destSASToken = New-AzStorageContainerSASToken … azcopy copy “$srcURI$srcSASToken” “$destURI$destSASToken”

まとめ 16 自動化でマネージド ID を使って Azure リソースを操作する際は ◼ Connect-AzAccount や
azcopy login はログイン情報をキャッシュする • Azure コンテキスト (ログイン情報) のスコープを現在のプロセスでのみ有効にすること • Connect-AzAccount -Scope Process … • Set-AzContext -Scope Process … • 自動化での azcopy login の使用は避けること ◼ IMDS への要求には VM ごとに制限がある • 制限 • 1 秒あたり 20 個の要求まで • 同時に 5 個の要求まで • 同時に行う要求を減らす or リトライで回避すること

ご清聴ありがとうございました

自動化で、マネージド ID と Connect-AzAccount と azcopy logi...

自動化で、マネージド ID と Connect-AzAccount と azcopy login を使用する際に気をつけること

Tetsuya Odashima

More Decks by Tetsuya Odashima

Other Decks in Technology

Featured

Transcript

自動化で、マネージド ID と Connect-AzAccount と azcopy login を使用する際に気をつけること 2023/05/13 Tetsuya

自己紹介 2 ◼ 小田島哲也 (おだしまてつや) • @TetsuyaOoooo ◼

お話しすること 3 ◼ 使用条件 • ひとつの VM 上で • 同一ユーザーで

Connect-AzAccount で気をつけること① 4 ◼ 使用条件 • ひとつの VM 上で •

Connect-AzAccount で気をつけること① 5 ◼ 使用条件 • ひとつの VM 上で •

Connect-AzAccount で気をつけること①→イケてない回避 6 ◼ 使用条件 • ひとつの VM 上で •

Connect-AzAccount で気をつけること①→スコープを定めろ 7 ◼ 使用条件 • ひとつの VM 上で •

Connect-AzAccount で気をつけること② 8 ◼ 使用条件 • ひとつの VM 上で •

Connect-AzAccount で気をつけること② 9 ◼ 使用条件 • ひとつの VM 上で •

Connect-AzAccount で気をつけること②→回避せよ (要求減らす) 10 ◼ 使用条件 • ひとつの VM 上で

Connect-AzAccount で気をつけること②→回避せよ (リトライ) 11 ◼ 使用条件 • ひとつの VM 上で

参考：再試行のガイダンス 12 仮想マシン上でマネージド ID を使用してアクセストークンを取得する - Microsoft Entra |

azcopy login で気をつけること 13 ◼ 使用条件 • ひとつの VM 上で

azcopy login で気をつけること 14 ◼ 使用条件 • ひとつの VM 上で

azcopy login で気をつけること→使うな 15 ◼ 使用条件 • ひとつの VM 上で

まとめ 16 自動化でマネージド ID を使って Azure リソースを操作する際は ◼ Connect-AzAccount や

ご清聴ありがとうございました