「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
- キッティングしてもらったAzureサブスクリプションを、
エンタープライズ・ユースで安全に管理するには?的なトピック。
- 自分でキッティングする場合は、以下をご参照下さい。
- アカウントを管理する。
- アクセス権で操作や通信を制限し、
- 必要に応じてVPN接続を利用する。
安全に管理・利用できる。
ロール定義、ロール割り当てで、アクセス権で操作を管理する。
- Azure リソースを管理するための、ブラウザーでアクセスできるシェル。
- Linux ユーザーは Bash を、Windows ユーザーは PowerShell を選ぶことができる。
Azure Resource Manager (ARM)モデルを使う一連のコマンドレットが用意されている。
Azure PowerShellのPython版(Pythonがあれば動作する)。
アクセス制御 †
アカウントにロールを関連付ける。
通信を管理する(リソースへのネットワーク トラフィックを許可または拒否する一連のセキュリティ規則)。
サブスクリプション管理者 †
アカウント管理者 †
Account Administrator
概要 †
権限 †
- サブスクリプションやサポートオプションの購入
- サブスクリプションごとのサービス管理者の指定
- オンライン請求書の発行やサブスクリプション情報などのメール通知の受信
- オンライン請求書ならびに使用量レポートのダウンロード
- 支払方法の変更
ポイント †
- 各種サービスを利用する管理ポータルへのアクセス権および管理権限は無い。
(管理ポータルを利用するには、サービス管理者や共同管理者に指定する。)
- アカウント管理者の変更は、セキュリティ上の観点から、ユーザ自身で実施できない。
Microsoft Azure サポートまで連絡して変更して貰う必要がある。
サービス管理者 †
Service Administrator
概要 †
- Azureの各種サービスを利用するための管理者。
- 各サブスクリプションに1つサービス管理者が紐づいている。
- 管理ポータルへのアクセスおよび管理権限が与えられる。
ポイント †
一方で、
- アカウントポータルへのアクセス権および管理権限は与えられていない。
- サービス管理者はアカウント管理者によって変更できる。
共同管理者 †
Co-Administrator
- RBACアクセス制御を使用して、
サブスクリプションに対して所有者というロールを割り当てれば、
従来のクラシック ポータルでの共同管理者相当になる。
カーディナリティ(多重度) †
ディレクトリ †
ディレクトリ → サブスクリプション
ユーザ †
- 1つのサブスクリプションは、ディレクトリに登録された複数人のユーザが操作できる。
- 故に、ポータルにログインして、操作するサブスクリプションを切替可能。
ユーザ ←──────┐
↑ ↓
└→ ディレクトリ → サブスクリプション
サブスクリプションとディレクトリの分割 †
サブスクリプション †
サブスクリプションは(業務・環境の単位に)システムで分割しても良い。
ディレクトリ †
管理者 †
ユーザとの関連付け †
別の機能であり、管理者も別もの。
参考 †
Microsoft Docs †
構成 †
最小 †
アカウント †
サブスクリプション管理者アカウント
ネットワーク †
1VNET内に、1サブネット
VM †
使用する数だけ用意する。
1サブネット向けに1NSGを作成する。
拡大 †
アカウント †
サブスクリプション管理者権限を付与することなく、
Azure Active Directory B2B collaborationの招待で
同じユーザが複数のサブスクリプションで管理作業をすることができる。
ネットワーク †
VM †
使用する数だけ用意する。
追加したサブネット間の通信に関するNSGを追加し、サブネットに関連付ける。
ネットワーク接続 †
信頼性・セキュリティ †
参考 †
参考 †
Microsoft Docs †
Tags: :インフラストラクチャ, :クラウド, :セキュリティ, :Azure
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
