「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -[[戻る>Azure Resource Manager]] * 目次 [#ga39c47d] #contents *概要 [#g05b61f4] 管理や課金という観点から、RBAC 機能は、さまざまなシナリオで~ 時間効率と管理効率に優れた方法であることが証明されている。 -管理者アカウント (サブスクリプション レベルでのサービス管理者ロール) によって --管理される 1 つの Azure サブスクリプションの所有者を柔軟に設定できる。 --管理者権限を付与することなく、複数のユーザを同じサブスクリプションでの業務に招待できる。 -管理・課金に関連するスコープへのアクセスが必ずしも必要ではない --外部のコラボレーター、ベンダー、フリーランサーと --連携している大企業や SMB 向けの、 >セキュリティ管理を実現できる。 **前提条件 [#e7675b30] ***サブスクリプション [#hd594661] 次のリソース プロバイダーが登録されている: Microsoft.Authorization。 ***ユーザ [#r1701dca] スタンドアロンのサブスクリプションの所有者 (サブスクリプション ロール) -Azure Portal にアクセスできる -Azure サブスクリプションの所有者ロールがある **機能 [#gb0259c8] -[[スコープ>#ae75b754]]に対する特定アクションにアクセスできるユーザをロールベースのアクセス制御 (RBAC : Role Based Access Control)で制御できる。 -アクセス権を付与するには、ユーザ、グループ、およびアプリケーションに適切な [[ロール>#ea4f95c8]]を、特定の[[スコープ>#ae75b754]]に割り当てる。 -アクセス権は、Azure ポータル、Azure コマンドライン ツール、および Azure 管理 API を使用して割り当てる。 **[[Azure Active Directory>Microsoft Azure Active Directory]] [#dec48a75] -各 Azure サブスクリプションは、1 つの [[Azure Active Directory>Microsoft Azure Active Directory]]のディレクトリと関連付けられる。 -そのディレクトリに登録されたユーザ、グループ、およびアプリケーションのみが、Azure サブスクリプションでリソースを管理できる。 *スコープ [#ae75b754] [[ロール>#ea4f95c8]]に割り当てるスコープ **指定できるスコープ [#i040f172] -サブスクリプション -リソース グループ -または単独のリソース **アクセス権の継承 [#q8598e80] 割り当てられたアクセス権は、下位スコープに継承される。 -親スコープで[[ロール>#ea4f95c8]]が割り当てられると、その親に含まれる子へのアクセス権も付与される。 -例えば、リソース グループへのアクセス権を持つユーザは、~ Web サイト、仮想マシン、サブネットなど、~ リソース グループに含まれるすべてのリソースを管理できる。 *ロール [#ea4f95c8] **ロールの定義 [#e76e3def] -Actions、NotActionsを定義して、AssignableScopesで[[スコープ>#ae75b754]]に割り当てる。 -アクセス権は、Actions の操作から NotActions の操作を差し引くことで算出される。 ***ロール定義 [#f6c3255d] アクセス許可セットを記述 ***ロール割り当て [#dc597603] 特定の[[スコープ>#ae75b754]]のIDに定義を関連付ける。 **ロールの種類 [#p2c79aeb] ロールの種類には、 -[[組み込みロール>#j27599ed]] -[[カスタム ロール>#gc65de81]] がある。 ***組み込みロール [#j27599ed] ユーザ、グループ、サービスに割り当てられる組み込みのロールが用意されている。 -4つのプラットフォーム ロール --所有者~ アクセス権を含めすべてを管理できる。 --共同作業者~ アクセス権以外のすべてを管理できる。 --閲覧者~ すべてを閲覧できるが、変更はできない。 --ユーザ アクセス管理者~ Azure リソースへのユーザ アクセスを管理できます。 -リソース固有ロール --仮想マシンの共同作業者 ---仮想マシンを管理できるが、 ---仮想マシンのアクセス許可は設定できない。 ---接続先の仮想ネットワークまたはストレージ アカウントの管理はできない。 --ネットワークの共同作業者 ---すべてのネットワーク リソースを管理できるが、 ---ネットワーク リソースのアクセス許可は設定できない。 --ストレージ アカウントの共同作業者 ---ストレージ アカウントを管理できるが、 ---ストレージ アカウントのアクセス許可は設定できない。 --SQL Server の共同作業者 ---SQL サーバーおよびデータベースを管理できるが、 ---そのセキュリティ関連ポリシーは設定できない。 --Web サイトの共同作業者 ---Web サイトを管理できるが、 ---接続されている Web プランは設定できない。 ***カスタム ロール [#gc65de81] 組み込みのロールの中にアクセス権に関する特定の要件を満たすものがない場合、~ Azure のロールベースのアクセス制御 (RBAC) でカスタム ロールを作成する。 *アクセス権(ロール)の割当 [#k1ba75af] -サブスクリプションの所有者はAzure Portalなどを使用して、~ 他のユーザに詳細なロールを割り当てることができる。 -そのユーザは環境内の特定スコープのリソースを管理できるようになる。 *参考 [#z29ebd51] -Azure Active Directory による Azure リソースへのアクセス管理~ https://docs.microsoft.com/ja-jp/azure/active-directory/manage-access-to-azure-resources -Azure でのリソース アクセスについて~ https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-understanding-resource-access **RBAC を使用したアクセスとアクセス許可 [#d3c11fe6] -RBAC を使用したアクセスとアクセス許可の管理 - Azure RBAC~ https://docs.microsoft.com/ja-jp/azure/active-directory/role-based-access-control-what-is ***ロールの定義 [#l8d5f516] -Azure リソースのアクセス権の割り当ての確認~ https://docs.microsoft.com/ja-jp/azure/active-directory/role-based-access-control-manage-assignments -Azure Portal におけるロールベースのアクセス制御~ https://docs.microsoft.com/ja-jp/azure/active-directory/role-based-access-control-configure ***ロールの種類 [#m78cd5ca] -Azure ロールベースのアクセス制御の組み込みロール~ https://docs.microsoft.com/ja-jp/azure/active-directory/role-based-access-built-in-roles -Azure RBAC のカスタム ロールの作成~ https://docs.microsoft.com/ja-jp/azure/active-directory/role-based-access-control-custom-roles **アクセス権(ロール)の割当 [#l0030995] -ロールベースのアクセス制御のカスタム ロールを作成して Azure の内部および外部ユーザーに割り当てる~ https://docs.microsoft.com/ja-jp/azure/active-directory/role-based-access-control-create-custom-roles-for-internal-external-users **サブスクリプションの管理 [#n06b57ce] -Azure 管理者サブスクリプション ロールを追加または変更する~ https://docs.microsoft.com/ja-jp/azure/billing/billing-add-change-azure-subscription-administrator#types-of-azure-admin-accounts ---- Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:Azure]]