前提条件
- OwnerまたはUser Access AdministratorアクセスのあるAzureサブスクリプション。
- Azure Active Directoryでアプリ登録を作成する権限。
- ターゲットサブスクリプションでロールを割り当てる権限。
Readerロールで、コスト分析、セキュリティ監査、リソース検査が可能です。Azureリソースに対してエージェントがアクションを実行する必要がある場合にのみ、書き込みレベルのロールを付与してください。
セットアップ
アプリケーションを登録
Azure Portalに移動し、Azure Active Directory → App registrations → New registration に進みます:
- 名前:
CloudThinker-ReadOnly - サポートされるアカウントの種類:この組織ディレクトリのみのアカウント
- Register をクリック
クライアントシークレットを作成
アプリ登録で Certificates & secrets → New client secret に移動します。説明を追加し、有効期限を設定(推奨:12ヶ月)して Add をクリックします。シークレット値をすぐにコピーしてください — 再度表示されません。
Readerロールを割り当て
Subscriptions → Your Subscription → Access control (IAM) → Add → Add role assignment に移動します。Reader ロールを選択し、アプリ登録を検索して選択し、Save をクリックします。
マルチサブスクリプションのセットアップ
複数のAzureサブスクリプションを持つ組織向け:接続詳細
| フィールド | 説明 | 例 |
|---|---|---|
| Client ID | アプリ登録のApplication(クライアント)ID | 00000000-0000-0000-0000-000000000000 |
| Client Secret | Certificates & secretsで作成したシークレット値 | — |
| Tenant ID | Azure ADのDirectory(テナント)ID | 00000000-0000-0000-0000-000000000000 |
| Subscription ID | 接続するAzureサブスクリプションID | 00000000-0000-0000-0000-000000000000 |
必要な権限
最小(読み取り専用分析)
推奨(完全分析)
エージェントの機能
接続後、エージェントはAzureリソースの分析と最適化を実行できます。接続を確認する
プロンプト例
トラブルシューティング
認証失敗
認証失敗
Tenant ID、Client ID、Client Secretが正しいことを確認します。クライアントシークレットが期限切れでないこと、アプリ登録が正しいAzure ADテナントにあることを確認してください。条件付きアクセスポリシーが認証をブロックしていないことも確認してください。
クライアントシークレットの期限切れ
クライアントシークレットの期限切れ
Azure AD → App registrations → Your app → Certificates & secrets に移動し、新しいクライアントシークレットを作成して、CloudThinkerの接続設定でシークレットを更新してください。
リソースがない
リソースがない
Readerロールが正しいサブスクリプションに割り当てられていることを確認します。リソースが別のサブスクリプションにないか確認し、アプリがすべての必要なサブスクリプションにアクセスできることを確認してください。
コストデータがない
コストデータがない
Cost Management Reader ロールが割り当てられていることを確認します。Cost Management + Billingのアクセスを確認し、EA/MCAの請求アカウントアクセスが必要な場合は設定されていることを確認してください。
セキュリティ
- 最小権限 — エージェントがユースケースに必要な権限のみを付与します。まず読み取り専用から始め、後から拡張してください。
- デフォルトで読み取り専用 — エージェントにこの接続で変更を行わせる場合を除き、読み取り専用の認証情報を使用してください。
- 認証情報のローテーション — 通常のスケジュールに従ってキーとトークンをローテーションしてください。接続を更新すると、CloudThinker が新しい値を自動的に取得します。
- オフボーディング時に失効 — 接続を削除するか、チームメンバーが退職する際には、プロバイダー側で認証情報を無効化してください。
- シークレットの有効期限を設定 — クライアントシークレットには常に有効期限を設定してください(「Never」は避ける)。期限前にローテーションするためのカレンダーリマインダーを設定してください。
- Readerロールを使用 — ContributorではなくReaderを割り当ててください。CloudThinkerの読み取り操作に書き込みアクセスは不要です。
関連
AWS接続
Amazon Web Servicesを接続
Oliverエージェント
Azureコンプライアンス向けセキュリティエージェント