Role Based Access Control (RBAC) のバックアップ(No.16)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• Role Based Access Control (RBAC) へ行く。
  • 1 (2017-11-28 (火) 13:50:12)
  • 2 (2017-11-28 (火) 13:51:54)
  • 3 (2017-11-30 (木) 10:57:37)
  • 4 (2017-12-07 (木) 18:59:54)
  • 5 (2017-12-08 (金) 11:07:30)
  • 6 (2018-02-14 (水) 11:29:31)
  • 7 (2018-02-14 (水) 14:47:05)
  • 8 (2018-02-15 (木) 18:16:06)
  • 9 (2020-04-15 (水) 12:13:48)
  • 10 (2020-05-07 (木) 18:12:50)
  • 11 (2020-10-02 (金) 11:13:29)
  • 12 (2021-02-11 (木) 23:28:16)
  • 13 (2021-03-03 (水) 15:42:33)
  • 14 (2021-03-04 (木) 20:14:26)
  • 15 (2021-03-05 (金) 11:12:08)
  • 16 (2021-03-05 (金) 17:04:19)
  • 17 (2021-03-06 (土) 13:32:11)
  • 18 (2021-03-06 (土) 17:25:49)
  • 19 (2021-03-07 (日) 22:53:20)
  • 20 (2021-03-08 (月) 00:18:39)
  • 21 (2021-03-08 (月) 14:37:26)
  • 22 (2021-03-08 (月) 22:11:26)
  • 23 (2021-03-15 (月) 22:43:24)
  • 24 (2021-03-17 (水) 20:46:44)
  • 25 (2021-06-30 (水) 16:45:45)
  • 26 (2021-07-01 (木) 09:36:35)
  • 27 (2021-08-30 (月) 17:57:39)
  • 28 (2021-08-30 (月) 20:59:59)
  • 29 (2021-09-03 (金) 11:48:17)
  • 30 (2021-09-03 (金) 13:37:00)
  • 31 (2021-09-08 (水) 17:04:48)

---

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る
  • Azureのアクセス制御と権限
  • Azure Resource Manager (ARM)

目次 †

概要 †

• スコープに対する特定アクションにアクセスできるユーザをロールベースのアクセス制御 (RBAC : Role Based Access Control)で制御できる。

• アクセス権を付与するには、ユーザ、グループ、およびアプリケーションに適切な ロールを、特定のスコープに割り当てる。

• アクセス権は、Azure ポータル、Azure コマンドライン ツール、および Azure 管理 API を使用して割り当てる。

• Azure ポータルで RBAC を設定する場合、Access Control ( IAM : Identity and Access Management ) から行う。

アクセス権の割当 †

• サブスクリプションの所有者は
  他のユーザに詳細なロールを割当ることができる。
• そのユーザは環境内の特定スコープのリソースを管理できるようになる。

割当 †

Azure Portalなどを使用して、スコープ ≒ リソースに、
（ユーザ <---> グループ） <---> ロールを関連付ける。

関連 †

各ロールは、以下のように（ユーザ <---> グループ）とスコープを関連付ける。

（ユーザ <---> グループ） <---> ロール <---> スコープ

継承 †

各スコープは、以下のようにRBACを継承する。

サブスクリプション <--- リソース・グループ <--- リソース

スコープ †

ロールに割り当てるスコープ

指定できるスコープ †

• サブスクリプション
• リソース グループ
• または単独のリソース

アクセス権の継承 †

割り当てられたアクセス権は、下位スコープに継承される。

• 親スコープでロールが割り当てられると、その親に含まれる子へのアクセス権も付与される。

• 例えば、リソース グループへのアクセス権を持つユーザは、
  Web サイト、仮想マシン、サブネットなど、
  リソース グループに含まれるすべてのリソースを管理できる。

ロール †

ロールの定義 †

• Actions、NotActions?を定義して、AssignableScopes?でスコープに割り当てる。
• アクセス権は、Actions の操作から NotActions? の操作を差し引くことで算出される。

ロール定義 †

アクセス許可セットを記述

ロール割り当て †

特定のスコープのIDに定義を関連付ける。

ロールの種類 †

ロールの種類には、

• 組み込みロール
• カスタム ロール

がある。

組み込みロール †

ユーザ、グループ、サービスに割り当てられる組み込みのロールが用意されている。

• ４つのプラットフォーム ロール
  • 所有者（Owner）
    アクセス権の割当を含め、全てを管理できる。
  • 共同作業者（Contributor）
    アクセス権の割当以外の、全てを管理できる。
  • 閲覧者（Reader）
    すべてを閲覧できるが、変更はできない。
  • ユーザ アクセス管理者
    （User Access Administrator）
    Azure リソースへのユーザ アクセスを管理できる。

• リソース固有ロール

• 仮想マシンの共同作業者
  （Virtual Machine Contributor）
  • 仮想マシンを管理できるが、
  • 仮想マシンのアクセス許可は設定できない。
  • 接続先の仮想ネットワークまたはストレージ・アカウントの管理はできない。

• ネットワークの共同作業者
  • すべてのネットワーク リソースを管理できるが、
  • ネットワーク リソースのアクセス許可は設定できない。

• ストレージ・アカウントの共同作業者
  • ストレージ・アカウントを管理できるが、
  • ストレージ・アカウントのアクセス許可は設定できない。

• SQL Server の共同作業者
  （SQL Server Contributor）
  • SQL サーバーおよびデータベースを管理できるが、
  • そのセキュリティ関連ポリシーは設定できない。

• Web サイトの共同作業者
  （Web Site Contributor）
  • Web サイトを管理できるが、
  • 接続されている Web プランは設定できない。

• , etc.

カスタム ロール †

組み込みのロールの中にアクセス権に関する特定の要件を満たすものがない場合、
Azure のロールベースのアクセス制御 (RBAC) でカスタム ロールを作成する。

参考 †

• Microsoft Azure サポート チーム サイト
  • Microsoft Azure の各種アカウント権限について
    https://blogs.msdn.microsoft.com/dsazurejp/2013/10/02/303/
  • アカウント管理者・サービス管理者・共同管理者の変更方法について
    https://blogs.msdn.microsoft.com/dsazurejp/2013/10/02/293/

• Microsoft Docs
  • Azure 組み込みロール - Azure RBAC
    https://docs.microsoft.com/ja-jp/azure/role-based-access-control/built-in-roles
  • Azure サブスクリプション管理者を追加または変更する
    https://docs.microsoft.com/ja-jp/azure/cost-management-billing/manage/add-change-subscription-administrator#types-of-azure-admin-accounts

設定例 †

組み込みロール †

管理者権限を付与する。 †

• プラットフォーム ロールを使用する。

• リソース固有ロールを使用する。

作業者に権限を付与する。 †

• プラットフォーム ロールを使用する。

• リソース固有ロールを使用する。

カスタム・ロール †

管理者権限を付与する。 †

作業者に権限を付与する。 †

• 「DevTest? Labs User」組込ロールを更に絞った、
  「仮想マシンの起動と停止」カスタム・ロールを作成。

• Azure Cloud Shellなどを使用して以下を実行。
  • SubsctionId? を確認

    Get-AzureRmSubscription

  • カスタム・ロールを作成

    $role = Get-AzureRmRoleDefinition "Virtual Machine Contributor"
    
    $role.Id = $Null
    $role.Name = "仮想マシンの起動と停止"
    $role.Description = "仮想マシンの起動と停止、再起動ができます"
    
    $role.Actions.Clear()
    $role.Actions.Add("Microsoft.Compute/VirtualMachines/start/action")
    $role.Actions.Add("Microsoft.Compute/VirtualMachines/restart/action")
    $role.Actions.Add("Microsoft.Compute/VirtualMachines/read")
    $role.Actions.Add("Microsoft.Compute/virtualMachines//read")
    $role.Actions.Add("Microsoft.Compute/VirtualMachines/deallocate/action")
    
    $role.AssignableScopes.Clear()
    $role.AssignableScopes.Add("/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx") <--- Get-AzureRmSubscription で取得した SubsctionId を指定。
    
    New-AzureRmRoleDefinition -Role $role

参考 †

• Azure でのリソース アクセスについて
  https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-understanding-resource-access

RBAC を使用したアクセスとアクセス許可 †

• RBAC を使用したアクセスとアクセス許可の管理 - Azure RBAC
  https://docs.microsoft.com/ja-jp/azure/active-directory/role-based-access-control-what-is

ロールの定義 †

• Azure リソースのアクセス権の割り当ての確認
  https://docs.microsoft.com/ja-jp/azure/active-directory/role-based-access-control-manage-assignments
• Azure Portal におけるロールベースのアクセス制御
  https://docs.microsoft.com/ja-jp/azure/active-directory/role-based-access-control-configure

ロールの種類 †

• Azure ロールベースのアクセス制御の組み込みロール
  https://docs.microsoft.com/ja-jp/azure/active-directory/role-based-access-built-in-roles
• Azure RBAC のカスタム ロールの作成
  https://docs.microsoft.com/ja-jp/azure/active-directory/role-based-access-control-custom-roles

アクセス権（ロール）の割当 †

• ロールベースのアクセス制御のカスタム ロールを作成して Azure の内部および外部ユーザーに割り当てる
  https://docs.microsoft.com/ja-jp/azure/active-directory/role-based-access-control-create-custom-roles-for-internal-external-users

• Azure リソースの RBAC でカスタムロールを作成する – Junichi Anno's blog
  https://blogs.technet.microsoft.com/junichia/2016/12/13/azure-%E3%83%AA%E3%82%BD%E3%83%BC%E3%82%B9%E3%81%AE-rbac-%E3%81%A7%E3%82%AB%E3%82%B9%E3%82%BF%E3%83%A0%E3%83%AD%E3%83%BC%E3%83%AB%E3%82%92%E4%BD%9C%E6%88%90%E3%81%99%E3%82%8B/

---

Tags: :インフラストラクチャ, :クラウド, :Azure, :セキュリティ

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.038 sec.