Role Based Access Control (RBAC) のバックアップ(No.6)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• Role Based Access Control (RBAC) へ行く。
  • 1 (2017-11-28 (火) 13:50:12)
  • 2 (2017-11-28 (火) 13:51:54)
  • 3 (2017-11-30 (木) 10:57:37)
  • 4 (2017-12-07 (木) 18:59:54)
  • 5 (2017-12-08 (金) 11:07:30)
  • 6 (2018-02-14 (水) 11:29:31)
  • 7 (2018-02-14 (水) 14:47:05)
  • 8 (2018-02-15 (木) 18:16:06)
  • 9 (2020-04-15 (水) 12:13:48)
  • 10 (2020-05-07 (木) 18:12:50)
  • 11 (2020-10-02 (金) 11:13:29)
  • 12 (2021-02-11 (木) 23:28:16)
  • 13 (2021-03-03 (水) 15:42:33)
  • 14 (2021-03-04 (木) 20:14:26)
  • 15 (2021-03-05 (金) 11:12:08)
  • 16 (2021-03-05 (金) 17:04:19)
  • 17 (2021-03-06 (土) 13:32:11)
  • 18 (2021-03-06 (土) 17:25:49)
  • 19 (2021-03-07 (日) 22:53:20)
  • 20 (2021-03-08 (月) 00:18:39)
  • 21 (2021-03-08 (月) 14:37:26)
  • 22 (2021-03-08 (月) 22:11:26)
  • 23 (2021-03-15 (月) 22:43:24)
  • 24 (2021-03-17 (水) 20:46:44)
  • 25 (2021-06-30 (水) 16:45:45)
  • 26 (2021-07-01 (木) 09:36:35)
  • 27 (2021-08-30 (月) 17:57:39)
  • 28 (2021-08-30 (月) 20:59:59)
  • 29 (2021-09-03 (金) 11:48:17)
  • 30 (2021-09-03 (金) 13:37:00)
  • 31 (2021-09-08 (水) 17:04:48)

---

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

管理や課金という観点から、RBAC 機能は、さまざまなシナリオで
時間効率と管理効率に優れた方法であることが証明されている。

• 管理者アカウント (サブスクリプション レベルでのサービス管理者ロール) によって
  • 管理される 1 つの Azure サブスクリプションの所有者を柔軟に設定できる。
  • 管理者権限を付与することなく、複数のユーザを同じサブスクリプションでの業務に招待できる。

• 管理・課金に関連するスコープへのアクセスが必ずしも必要ではない
  • 外部のコラボレーター、ベンダー、フリーランサーと
  • 連携している大企業や SMB 向けの、

セキュリティ管理を実現できる。

前提 †

• 基礎知識

機能 †

• スコープに対する特定アクションにアクセスできるユーザをロールベースのアクセス制御 (RBAC : Role Based Access Control)で制御できる。

• アクセス権を付与するには、ユーザ、グループ、およびアプリケーションに適切な ロールを、特定のスコープに割り当てる。

• アクセス権は、Azure ポータル、Azure コマンドライン ツール、および Azure 管理 API を使用して割り当てる。

• Azure ポータルで RBAC を設定する場合、Access Control ( IAM : Identity and Access Management ) から行う。

アクセス権の割当 †

• サブスクリプションの所有者はAzure Portalなどを使用して、
  他のユーザに詳細なロールを割り当てることができる。
• そのユーザは環境内の特定スコープのリソースを管理できるようになる。

関連 †

各ロールは、以下のように（ユーザ <---> グループ）とスコープを関連付ける。

（ユーザ <---> グループ） <---> ロール <---> スコープ

継承 †

各スコープは、以下のようにRBACを継承する。

サブスクリプション <--- リソース・グループ <--- リソース

スコープ †

ロールに割り当てるスコープ

指定できるスコープ †

• サブスクリプション
• リソース グループ
• または単独のリソース

アクセス権の継承 †

割り当てられたアクセス権は、下位スコープに継承される。

• 親スコープでロールが割り当てられると、その親に含まれる子へのアクセス権も付与される。

• 例えば、リソース グループへのアクセス権を持つユーザは、
  Web サイト、仮想マシン、サブネットなど、
  リソース グループに含まれるすべてのリソースを管理できる。

ロール †

ロールの定義 †

• Actions、NotActions?を定義して、AssignableScopes?でスコープに割り当てる。
• アクセス権は、Actions の操作から NotActions? の操作を差し引くことで算出される。

ロール定義 †

アクセス許可セットを記述

ロール割り当て †

特定のスコープのIDに定義を関連付ける。

ロールの種類 †

ロールの種類には、

• 組み込みロール
• カスタム ロール

がある。

組み込みロール †

ユーザ、グループ、サービスに割り当てられる組み込みのロールが用意されている。

• ４つのプラットフォーム ロール
  • 所有者
    アクセス権を含めすべてを管理できる。
  • 共同作業者
    アクセス権以外のすべてを管理できる。
  • 閲覧者
    すべてを閲覧できるが、変更はできない。
  • ユーザ アクセス管理者
    Azure リソースへのユーザ アクセスを管理できます。

• リソース固有ロール

• 仮想マシンの共同作業者
  • 仮想マシンを管理できるが、
  • 仮想マシンのアクセス許可は設定できない。
  • 接続先の仮想ネットワークまたはストレージ アカウントの管理はできない。

• ネットワークの共同作業者
  • すべてのネットワーク リソースを管理できるが、
  • ネットワーク リソースのアクセス許可は設定できない。

• ストレージ アカウントの共同作業者
  • ストレージ アカウントを管理できるが、
  • ストレージ アカウントのアクセス許可は設定できない。

• SQL Server の共同作業者
  • SQL サーバーおよびデータベースを管理できるが、
  • そのセキュリティ関連ポリシーは設定できない。

• Web サイトの共同作業者
  • Web サイトを管理できるが、
  • 接続されている Web プランは設定できない。

カスタム ロール †

組み込みのロールの中にアクセス権に関する特定の要件を満たすものがない場合、
Azure のロールベースのアクセス制御 (RBAC) でカスタム ロールを作成する。

参考 †

• Azure Active Directory による Azure リソースへのアクセス管理
  https://docs.microsoft.com/ja-jp/azure/active-directory/manage-access-to-azure-resources

• Azure でのリソース アクセスについて
  https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-understanding-resource-access

RBAC を使用したアクセスとアクセス許可 †

• RBAC を使用したアクセスとアクセス許可の管理 - Azure RBAC
  https://docs.microsoft.com/ja-jp/azure/active-directory/role-based-access-control-what-is

• Azure リソースの RBAC でカスタムロールを作成する – Junichi Anno's blog
  https://blogs.technet.microsoft.com/junichia/2016/12/13/azure-%E3%83%AA%E3%82%BD%E3%83%BC%E3%82%B9%E3%81%AE-rbac-%E3%81%A7%E3%82%AB%E3%82%B9%E3%82%BF%E3%83%A0%E3%83%AD%E3%83%BC%E3%83%AB%E3%82%92%E4%BD%9C%E6%88%90%E3%81%99%E3%82%8B/

ロールの定義 †

• Azure リソースのアクセス権の割り当ての確認
  https://docs.microsoft.com/ja-jp/azure/active-directory/role-based-access-control-manage-assignments
• Azure Portal におけるロールベースのアクセス制御
  https://docs.microsoft.com/ja-jp/azure/active-directory/role-based-access-control-configure

ロールの種類 †

• Azure ロールベースのアクセス制御の組み込みロール
  https://docs.microsoft.com/ja-jp/azure/active-directory/role-based-access-built-in-roles
• Azure RBAC のカスタム ロールの作成
  https://docs.microsoft.com/ja-jp/azure/active-directory/role-based-access-control-custom-roles

アクセス権（ロール）の割当 †

• ロールベースのアクセス制御のカスタム ロールを作成して Azure の内部および外部ユーザーに割り当てる
  https://docs.microsoft.com/ja-jp/azure/active-directory/role-based-access-control-create-custom-roles-for-internal-external-users

---

Tags: :インフラストラクチャ, :クラウド, :Azure

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.035 sec.