Role Based Access Control (RBAC) のバックアップ(No.25)

{
  "Name":  "Storage Blob Data Reader (Preview)",
  "Id":  "2a2b9908-6ea1-4ae2-8e65-a410df84e7d1",
  "IsCustom":  false,
  "Description":  "Allows for read access to Azure Storage blob containers and data",
  "Actions":  [
    "Microsoft.Storage/storageAccounts/blobServices/containers/read"
  ],
  "NotActions":  [],
  "DataActions":  [ 
    "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read"
  ],
  "NotDataActions":  [],
  "AssignableScopes":  [
    "/"
  ]
}

↑

ロールの種類 †

ロールの種類には、

組み込みロール
カスタム・ロール

がある。

↑

組み込みロール †

ユーザ、グループ、サービスに割り当てられる組み込みのロールが用意されている。
ただし、説明文は的確ではない表現も多いため、必ず中身をしっかり確認すること。

４つのプラットフォームロール
- 所有者（Owner）
  「アクセス権の割当」を含め、全てを管理できる。
- 共同作業者（Contributor）
  「アクセス権の割当」以外の、全てを管理できる。
- 閲覧者（Reader）
  すべてを閲覧できるが、変更はできない。
- ユーザ・アクセス管理者（User Access Administrator）
  Azure リソースへのユーザアクセスを管理できる。

リソース固有ロール

ネットワークの共同作業者
他の「リソース固有ロール」に含まれない
ネットワーク系の設定変更が可能となっている。
- すべてのネットワークリソースを管理できるが、
- ネットワークリソースのアクセス許可は設定できない。

仮想マシンの共同作業者
（Virtual Machine Contributor）
- 仮想マシンを管理できるが、
- 仮想マシンのアクセス許可は設定できない。
- 接続先の仮想ネットワークまたはストレージ・アカウントの管理はできない。

ストレージ・アカウントの共同作業者
- ストレージ・アカウントを管理できるが、
- ストレージ・アカウントのアクセス許可は設定できない。

SQL Server の共同作業者
（SQL Server Contributor）
- SQL サーバーおよびデータベースを管理できるが、
- そのセキュリティ関連ポリシーは設定できない。

Web サイトの共同作業者
（Web Site Contributor）
- Web サイトを管理できるが、
- 接続されている Web プランは設定できない。

, etc. （全部で70種類程ある）

↑

カスタム・ロール †

組み込みのロールの中にアクセス権に関する特定の要件を満たすものがない場合、
Azure のロールベースのアクセス制御 (RBAC) でカスタム・ロールを作成する。

ただし、極力、カスタム・ロールは作らないようにする。

スコープをリソース・グループやリソース単位に絞って、
共同作業者（Contributor）ロールを設定することで対応可能。

↑

参考 †

Microsoft Azure サポートチームサイト
- Microsoft Azure の各種アカウント権限について
  https://blogs.msdn.microsoft.com/dsazurejp/2013/10/02/303/
- アカウント管理者・サービス管理者・共同管理者の変更方法について
  https://blogs.msdn.microsoft.com/dsazurejp/2013/10/02/293/

Azure サブスクリプション管理者を追加または変更する
https://docs.microsoft.com/ja-jp/azure/cost-management-billing/manage/add-change-subscription-administrator#types-of-azure-admin-accounts

↑

スコープ †

ロールに関連付けるスコープ

↑

指定できるスコープ †

サブスクリプション
リソース・グループ
または単独のリソース

↑

アクセス権の継承 †

各スコープは、以下のようにRBACを継承する。

サブスクリプション <--- リソース・グループ <--- リソース

親スコープでロールが関連付けられると、
その親に含まれる子へのアクセス権も付与される。

例えば、リソース・グループへのアクセス権を持つユーザは、
Web サイト、仮想マシン、サブネットなど、
リソース・グループに含まれるすべてのリソースを管理できる。

↑

アクセス権の割当 †

サブスクリプションの所有者は

他のユーザ・グループに詳細なロールを割り当て、
上記をスコープに関連付け

ると、当該リソースを管理できるようになる。

↑

割り当て †

管理機能を使用して、以下のように

ロール <--->（ユーザ <---> グループ）

ユーザ・グループに詳細なロールを割り当てる。

↑

設定例 †

↑

組み込みロール †

↑

管理者用の組み込みロール †

組み込みロールを使用する。

プラットフォームロール
リソース固有ロール

↑

作業者用の組み込みロール †

組み込みロールを使用する。

プラットフォームロール
リソース固有ロール

↑

カスタム・ロール †

↑

管理者用カスタム・ロールの例 †

↑

作業者用カスタム・ロールの例 †

「DevTest? Labs User」組込ロールを更に絞った、
「仮想マシンの起動と停止」カスタム・ロールを作成。

Azure Cloud Shellなどを使用して以下を実行。

SubsctionId? を確認
```
Get-AzureRmSubscription
```

カスタム・ロールを作成

$role = Get-AzureRmRoleDefinition "Virtual Machine Contributor"

$role.Id = $Null
$role.Name = "仮想マシンの起動と停止"
$role.Description = "仮想マシンの起動と停止、再起動ができます"

$role.Actions.Clear()
$role.Actions.Add("Microsoft.Compute/VirtualMachines/start/action")
$role.Actions.Add("Microsoft.Compute/VirtualMachines/restart/action")
$role.Actions.Add("Microsoft.Compute/VirtualMachines/read")
$role.Actions.Add("Microsoft.Compute/virtualMachines//read")
$role.Actions.Add("Microsoft.Compute/VirtualMachines/deallocate/action")

$role.AssignableScopes.Clear()
$role.AssignableScopes.Add("/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx") <--- Get-AzureRmSubscription で取得した SubsctionId を指定。

New-AzureRmRoleDefinition -Role $role