パスワード、接続文字列、アクセス キーといった「秘密情報」の管理は、クラウド アプリケーション最大の悩みどころです。コードや設定ファイルに埋め込まれたキーは、リポジトリへの誤コミットやログ出力から漏えいすることが珍しくなく、定期的なローテーションの負担も無視できません。
マネージド ID は、この問題を根本から解決する Azure の仕組みです。VM などの Azure リソースに Microsoft Entra ID 上の ID を自動的に持たせ、リソース内からはインスタンス メタデータ サービス (IMDS) 経由でアクセス トークンを取得できます。開発者や運用者が資格情報を保存・管理する必要は一切ありません。あとは Azure RBAC で「Storage Blob Data Reader」のようなデータプレーン用ロールを割り当てるだけで、最小権限のアクセス制御が実現します。
このラボでは、公開 IP を持たない B1s の Linux VM を作成してシステム割り当てマネージド ID を有効化し、Storage アカウントの Blob に対する読み取りロールを割り当てたうえで、Run Command 経由で VM 内から az login --identity を実行して Blob を取得します。AZ-500 と AZ-204 の両方で頻出のシナリオを、実際に手を動かして確認します。
az login --identity を使い、資格情報なしで Blob を取得できる詳細な手順は、ラボ開始後に画面内のガイドとして表示されます。