「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
- キッティングしてもらったAzureサブスクリプションを、
エンタープライズ・ユースで安全に管理するには?的なトピック。
- アカウントを管理する。
- アクセス権で操作や通信を制限し、
- 必要に応じてVPN接続を利用する。
安全に管理・利用できる。
ロール定義、ロール割り当てで、アクセス権で操作を管理する。
- Azure リソースを管理するための、ブラウザーでアクセスできるシェル。
- Linux ユーザーは Bash を、Windows ユーザーは PowerShell を選ぶことができる。
Azure Resource Manager (ARM)モデルを使う一連のコマンドレットが用意されている。
Azure PowerShellのPython版(Pythonがあれば動作する)。
アクセス制御 †
アカウントにロールを関連付ける。
通信を管理する(リソースへのネットワーク トラフィックを許可または拒否する一連のセキュリティ規則)。
サブスクリプション管理者 †
アカウント管理者 †
Account Administrator
概要 †
権限 †
- サブスクリプションやサポートオプションの購入
- サブスクリプションごとのサービス管理者の指定
- オンライン請求書の発行やサブスクリプション情報などのメール通知の受信
- オンライン請求書ならびに使用量レポートのダウンロード
- 支払方法の変更
ポイント †
- 各種サービスを利用する管理ポータルへのアクセス権および管理権限は無い。
(管理ポータルを利用するには、サービス管理者や共同管理者に指定する。)
- アカウント管理者の変更は、セキュリティ上の観点から、ユーザ自身で実施できない。
Microsoft Azure サポートまで連絡して変更して貰う必要がある。
サービス管理者 †
Service Administrator
概要 †
- Azureの各種サービスを利用するための管理者。
- 各サブスクリプションに1つサービス管理者が紐づいている。
- 管理ポータルへのアクセスおよび管理権限が与えられる。
ポイント †
一方で、
- アカウントポータルへのアクセス権および管理権限は与えられていない。
- サービス管理者はアカウント管理者によって変更できる。
共同管理者 †
Co-Administrator
- RBACアクセス制御を使用して、
サブスクリプションに対して所有者というロールを割り当てれば、
従来のクラシック ポータルでの共同管理者相当になる。
カーディナリティ(多重度) †
ディレクトリ †
ディレクトリ → サブスクリプション
ユーザ †
- 1つのサブスクリプションは、ディレクトリに登録された複数人のユーザが操作できる。
- 故に、ポータルにログインして、操作するサブスクリプションを切替可能。
ユーザ ←──────┐
↑ ↓
└→ ディレクトリ → サブスクリプション
サブスクリプションとディレクトリの分割 †
サブスクリプション †
サブスクリプションは(業務・環境の単位に)システムで分割しても良い。
ディレクトリ †
管理者 †
ユーザとの関連付け †
別の機能であり、管理者も別もの。
参考 †
Microsoft Docs †
構成 †
最小 †
アカウント †
サブスクリプション管理者アカウント
ネットワーク †
1VNET内に、1サブネット
VM †
使用する数だけ用意する。
1サブネット向けに1NSGを作成する。
拡大 †
アカウント †
サブスクリプション管理者権限を付与することなく、
Azure Active Directory B2B collaborationの招待で
同じユーザが複数のサブスクリプションで管理作業をすることができる。
ネットワーク †
VM †
使用する数だけ用意する。
追加したサブネット間の通信に関するNSGを追加し、サブネットに関連付ける。
ネットワーク接続 †
具体的なセキュリティ強化策についてクラウドがガイドしてくれる。
セキュリティ †
Secret管理 †
... †
参考 †
Microsoft Docs †
Tags: :インフラストラクチャ, :クラウド, :Azure, :セキュリティ
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
