マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

Azureのアクセス制御(の機構)と権限(ロールと管理者)についてまとめる。

詳細

アクセス制御

Network Security Group (NSG)

Role Based Access Control (RBAC)

Azure Policy

Azure Active Directory 条件付きアクセス

Azure Active Directory Identity Protection

Azure AD Privileged Identity Management (PIM)

アクセス権限

Azure Active Directory管理者

RBACアクセス権限

サブスクリプション管理者

ベストプラクティス

JITロール割り当て

Just-in-Time (JIT)

Azure Active Directory管理者ロールRBACアクセス権限ロール運用
特権管理者Global Administrator
(全体管理者)
Owner
(所有者)
非常事態用 IDのみに割り当て
管理者・責任者
読み取りロール(特にロールを必要としない)Reader
(閲覧者)
各管理者に静的割当
ロール変更ロール(★ 重要)Priviledged Role Adminstrator
(特権ロール管理者)
User Access Administrator
(ユーザアクセス管理者)
責任者ロールGuest Invitor(ゲストユーザの招待)
User Account Administrator(ユーザの追加・削除)
作業責任者の場合に静的 or JIT割当
作業者
読み取りロール(特にロールを必要としない)Reader
(閲覧者)
各作業者に静的割当
作業者ロール(各種の管理者ロール)Contributor / XX Contributor
(共同所有者)
各作業者にJIT割当

※ JIT割り当ての対象となるContributor(変更)権限を持っているロール

  • 共同作業者(Contributor)
  • リソース固有ロール(XX Contributor)

はグループには付与しない。

※ 作業に必要なロールを全て与えるのではなく、

  • 初回構築時は共同作業者(Contributor)で作業を行い、
  • 設定変更時はリソース固有ロール(XX Contributor)で作業を行う

と良い。

※ ポータルからスイッチを有効化すると、AADテナントの全体管理者に対して、
  当該テナントを信頼する全サブスクリプションの特権管理者権限を与える緊急事態用機能がある。

認証強度を高めるための仕組み

条件付きアクセス、多要素認証(MFA)

権限割り当てを厳格化するための仕組み

Azure AD Privileged Identity Management (PIM)

Azure Policyによるリソース設定値チェック

RBACとは、位置付けが異なるため、混同しないように注意する。

更に、ARMテンプレートの併用

リソース・ロック機能

ハードニング(堅牢化)

  • PAW(Privileged Access Workstation)
  • Azure JIT VM Access 機能
  • EDR & TVM(Endpoint Protection
    • Endpoint Detection & Response
    • Threat Vulnerability Management

参考

Azure Well-Architected Framework - Security > 運用管理作業(Administration)

参考

Microsoft Docs

nakama

Azure AD 基礎中にも同様のトピックが含まれる。


Tags: :セキュリティ, :アカウント, :クラウド, :認証基盤, :Azure, :Active Directory


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2021-03-18 (木) 14:20:23 (34d)