Azure 基礎の概念
この記事では、Microsoft Azure で使用されている基本的な概念と用語、概念どうしの関連性について説明します。
Azure の用語
Azure クラウド導入過程を開始する場合は、以下の定義を理解しておくと役に立ちます。
- リソース: Azure によって管理されるエンティティ。 Azure 仮想マシン、仮想ネットワーク、ストレージ アカウントなどが例として挙げられます。
- サブスクリプション: リソースの論理コンテナー。 各 Azure リソースは、1 つのサブスクリプションだけに関連付けられます。 Azure の導入はサブスクリプションの作成から始まります。
- Azure アカウント: Azure サブスクリプションを作成するときに指定するメール アドレスが、サブスクリプションの Azure アカウントです。 メール アカウントに関連付けられているパーティーが、サブスクリプションのリソースにかかる毎月の費用に対して責任を負います。 Azure アカウントを作成するときに、連絡先情報と、クレジット カードなどの課金の詳細情報を提供します。 複数のサブスクリプションに対して同じ Azure アカウントを使用できます。 各サブスクリプションが関連付けられる Azure アカウントは 1 つに限られます。
- アカウント管理者: Azure サブスクリプションの作成に使用されるメール アドレスに関連付けられている当事者。 アカウント管理者は、サブスクリプションのリソースにかかる全費用の支払いに対して責任を負います。
- Microsoft Entra ID: Microsoft のクラウドベースの ID とアクセスの管理サービス。 Microsoft Entra ID を使うと、従業員が次のリソースにサインインおよびアクセスしやすくなります。
- Microsoft Entra テナント: Microsoft Entra ID の専用の信頼されたインスタンス。 組織が Microsoft クラウド サービス サブスクリプションにサインアップすると、Microsoft Entra テナントが自動的に作成されます。 たとえば、Microsoft Azure、Intune、Microsoft 365 などです。 1 つの Azure テナントは単一の組織を表します。
- Microsoft Entra ディレクトリ:各 Microsoft Entra テナントには、信頼された専用のディレクトリが 1 つ用意されます。 ディレクトリには、テナントのユーザー、グループ、アプリケーションが含まれています。 ディレクトリを使用して、テナント リソースに対する ID とアクセスの管理機能を管理します。 ディレクトリは複数のサブスクリプションに関連付けることができますが、各サブスクリプションが関連付けられるディレクトリは 1 つに限られます。
- リソース グループ: サブスクリプション内の関連するリソースをグループ化する論理コンテナー。 各リソースが所属できるリソース グループは 1 つに限られます。 リソース グループを使用すると、サブスクリプション内でより詳細なグループ化を行うことができます。 これらは一般に、サブスクリプション内のワークロード、アプリケーション、または特定の機能をサポートするために必要な資産のコレクションを表すために使用されます。
- 管理グループ: 1 つ以上のサブスクリプションに使用する論理コンテナー。 管理グループ、サブスクリプション、リソース グループ、リソースからなる階層を定義し、アクセス、ポリシー、コンプライアンスを継承によって効率よく管理できます。
- リージョン: 待ち時間で定義された境界内にデプロイされる Azure データセンターのセット。 データセンターは、リージョンの待ち時間の短い専用ネットワーク経由で接続します。 ほとんどの Azure リソースは特定の Azure リージョンで実行されます。
Azure サブスクリプションの目的
Azure サブスクリプションには、次のようないくつかの目的があります。
- 法的契約。 各サブスクリプションは、無料試用版や従量課金制などの Azure プランに関連付けられます。 各プランには固有の料金プラン、特典、使用条件が設定されています。 Azure プランはサブスクリプションを作成するときに選択してください。
- 支払い契約。 サブスクリプションを作成するときに、そのサブスクリプションの支払い情報 (クレジット カード番号など) を指定します。 そのサブスクリプションにデプロイされたリソースにかかる費用が毎月計算され、指定した支払い方法で請求されます。
- スケールの境界。 サブスクリプションに対して定義するスケール制限。 サブスクリプションのリソースは、設定されたスケール制限を超えることはできません。 たとえば、1 つのサブスクリプションで作成できる仮想マシンの数には制限があります。
- 管理上の境界。 サブスクリプションは、管理、セキュリティ、ポリシーの境界として機能します。 Azure では、これらのニーズに対応するその他のメカニズムも提供しています (管理グループ、リソース グループ、Azure ロールベースのアクセス制御など)。
Azure サブスクリプションに関する考慮事項
Azure サブスクリプションを作成するときに、サブスクリプションについていくつかの重要な選択を行います。
- サブスクリプションの支払い担当者: 既定では、アカウント管理者は、サブスクリプションを作成するときに指定するメール アドレスに関連付けられる当事者です。 この人物は、サブスクリプションのリソースにかかる全費用の支払いに対して責任を負います。
- 関心のある Azure プラン: 各サブスクリプションは、特定の Azure プランに関連付けられます。 自分のニーズに最も合う Azure プランを選択できます。 たとえば、サブスクリプションを使用して非運用ワークロードを実行する場合は、開発テスト用の従量課金制プランまたは Enterprise Dev/Test プランを選択することができます。
Note
Azure にサインアップするときに、Azure アカウントの作成 というフレーズが表示されることがあります。 Azure アカウントは、Azure サブスクリプションを作成するときに作成されます。 サブスクリプションを電子メール アカウントに関連付けることができます。
Azure 管理ロール
Azure では、サブスクリプション、ID、リソースを管理するための 3 種類のロールが定義されています。
- 従来のサブスクリプション管理者ロール
- Azure ロール
- Microsoft Entra ロール
アカウント管理者ロールは、Azure サブスクリプションの作成に使用されるメール アカウントに割り当てられます。 アカウント管理者はサブスクリプションの請求先所有者です。 アカウント管理者は、Azure portal 内でサブスクリプション管理者を管理することができます。
既定では、サブスクリプションのサービス管理者ロールは、Azure サブスクリプションの作成に使用されるメール アカウントにも割り当てられます。 サービス管理者には、サブスクリプションに対して、Azure ロールベースのアクセス制御の所有者ロールと同等のアクセス許可が与えられます。 サービス管理者には、Azure portal へのフル アクセス権も与えられます。 アカウント管理者は、サービス管理者を別のメール アカウントに変更できます。
Azure サブスクリプションを作成するときに、それを既存の Microsoft Entra テナントに関連付けることができます。 メール アカウントを指定して、そのメール アカウントを複数の Azure サブスクリプションに関連付けることもできます。 アカウント管理者は、サブスクリプションを別のアカウントに譲渡できます。 詳しくは、従来のサブスクリプション管理者ロール、Azure ロール、Microsoft Entra ロールに関する記事をご覧ください。
サブスクリプションとリージョン
各 Azure リソースは、1 つのサブスクリプションに論理的に関連付けられます。 リソースを作成するとき、そのリソースのデプロイ先となる Azure サブスクリプションを選択します。 リソースは、後で別のサブスクリプションに移動できます。
サブスクリプションは特定の Azure リージョンに関連付けられるのではなく、各 Azure リソースは 1 つのリージョンにのみデプロイされます。 複数のリージョンにあるリソースを同じサブスクリプションに関連付けることができます。
Note
ほとんどの Azure リソースは特定のリージョンにデプロイされます。 Azure Policy サービスを使用して設定するポリシーなど、特定のリソースの種類はグローバル リソースと見なされます。
関連リソース
この記事で説明した概念の詳細情報は、次のリソースで参照できます。
- Azure のしくみ
- Azure でのリソース アクセス管理
- Azure リソース マネージャーの概要
- Azure ロールベースのアクセス制御 (Azure RBAC)
- Microsoft Entra Connect とは
- Microsoft Entra テナントに Azure サブスクリプションを関連付ける、または追加する
- Microsoft Entra Connect のトポロジ
- マイクロソフトのクラウド プランのサブスクリプション、ライセンス、アカウント、およびテナント
次のステップ
Azure の基本的な概念を理解したところで、複数の Azure サブスクリプションで拡張する方法について見ていきましょう。