マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

  • キッティングしてもらったAzureサブスクリプションを、
    エンタープライズ・ユースで安全に管理するには?的なトピック。
  • 以下の機能を活用することで、
  • アカウントを管理する。
  • アクセス権で操作や通信を制限し、
  • 必要に応じてVPN接続を利用する。

安全に管理・利用できる。

Azure Resource Manager (ARM)

ロール定義、ロール割り当てで、アクセス権で操作を管理する。

シェル

Azure Cloud Shell

  • Azure リソースを管理するための、ブラウザーでアクセスできるシェル。
  • Linux ユーザーは Bash を、Windows ユーザーは PowerShell を選ぶことができる。

Azure PowerShell

Azure Resource Manager (ARM)モデルを使う一連のコマンドレットが用意されている。

Azure CLI

Azure PowerShellのPython版(Pythonがあれば動作する)。

アクセス制御

Role Based Access Control (RBAC)

アカウントにロールを関連付ける。

Network Security Group (NSG)

通信を管理する(リソースへのネットワーク トラフィックを許可または拒否する一連のセキュリティ規則)。

サブスクリプション管理者

アカウント管理者

Account Administrator

概要

  • 金銭や契約に関わる作業を行う。
  • サブスクリプションやサポートオプションの
    • 購入
    • 購入後
      • 契約管理
      • 請求管理

権限

  • サブスクリプションやサポートオプションの購入
  • サブスクリプションごとのサービス管理者の指定
  • オンライン請求書の発行やサブスクリプション情報などのメール通知の受信
  • オンライン請求書ならびに使用量レポートのダウンロード
  • 支払方法の変更

ポイント

  • 各種サービスを利用する管理ポータルへのアクセス権および管理権限は無い。
    (管理ポータルを利用するには、サービス管理者や共同管理者に指定する。)
  • アカウント管理者の変更は、セキュリティ上の観点から、ユーザ自身で実施できない。
    Microsoft Azure サポートまで連絡して変更して貰う必要がある。

サービス管理者

Service Administrator

概要

  • Azureの各種サービスを利用するための管理者。
  • 各サブスクリプションに1つサービス管理者が紐づいている。
  • 管理ポータルへのアクセスおよび管理権限が与えられる。

ポイント

一方で、

  • アカウントポータルへのアクセス権および管理権限は与えられていない。
  • サービス管理者はアカウント管理者によって変更できる。

共同管理者

Co-Administrator

  • 2017 年 10 月時点で新規登録できない。
  • RBACアクセス制御を使用して、
    サブスクリプションに対して所有者というロールを割り当てれば、
    従来のクラシック ポータルでの共同管理者相当になる。

Azure Active Directoryとの関係

  • Azure Active Directoryは、
    • Azureの一機能に見えるが、違う。
    • また、包含関係は無く、互いに独立している。
    • ライセンス購入・課金の仕組みも独立している。
      Azure Active Directoryの課金はサブスクリプションから
      引き落とされるのではなく、別途購入する形になる。

カーディナリティ(多重度)

ディレクトリ

  • 1つのサブスクリプションには、1つのAzure Active Directoryのディレクトリに紐付く。
  • 1つのAzure Active Directoryのディレクトリには、複数のサブスクリプションが紐付く。
ディレクトリ → サブスクリプション

ユーザ

  • 1つのサブスクリプションは、ディレクトリに登録された複数人のユーザが操作できる。
  • 故に、ポータルにログインして、操作するサブスクリプションを切替可能。
ユーザ ←──────┐
↑          ↓
└→ ディレクトリ → サブスクリプション

サブスクリプションとディレクトリの分割

サブスクリプション

サブスクリプションは(業務・環境の単位に)システムで分割しても良い。

ディレクトリ

  • 分割はしないが二重に作成するケースはある。

管理者

ユーザとの関連付け

Azure Active Directory管理者との関係

別の機能であり、管理者も別もの。

参考

AzADのテナント作成方法

Microsoft Docs

構成

最小

アカウント

サブスクリプション管理者アカウント

ネットワーク

VNET内に、1サブネット

VM

使用する数だけ用意する。

NSG

1サブネット向けに1NSGを作成する。

拡大

アカウント

サブスクリプション管理者権限を付与することなく、
Azure Active Directory B2B collaborationの招待で
同じユーザが複数のサブスクリプションで管理作業をすることができる。

ネットワーク

VM

使用する数だけ用意する。

NSG

追加したサブネット間の通信に関するNSGを追加し、サブネットに関連付ける。

ネットワーク接続

仮想ネットワークに接続する。

OA-LANから管理端末に接続する。

Azure Virtual Data Center

手順

基礎知識

ベースの作成

ユーザの追加

リソースへの権限付与

信頼性・セキュリティ

Azureによる基盤開発法

Azureの高可用性設計

Azureの監視と管理

Azureのアクセス制御と権限

サービスのセキュア化

仮想ネットワーク

ストレージ

仮想マシン

Firewall

Backup

監視系

参考

Azure Virtual Data Center

FgCF (Financial-grade Cloud Fundamentals)

参考

Microsoft Docs


Tags: :インフラストラクチャ, :クラウド, :セキュリティ, :Azure


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2021-03-18 (木) 14:27:30 (223d)