「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
管理や課金という観点から、RBAC 機能は、さまざまなシナリオで
時間効率と管理効率に優れた方法であることが証明されている。
セキュリティ管理を実現できる。
各ロールは、以下のように(ユーザ <---> グループ)とスコープを関連付ける。
各スコープは、以下のようにRBACを継承する。
サブスクリプション <--- リソース・グループ <--- リソース
ロールに割り当てるスコープ
割り当てられたアクセス権は、下位スコープに継承される。
アクセス許可セットを記述
特定のスコープのIDに定義を関連付ける。
ロールの種類には、
がある。
ユーザ、グループ、サービスに割り当てられる組み込みのロールが用意されている。
組み込みのロールの中にアクセス権に関する特定の要件を満たすものがない場合、
Azure のロールベースのアクセス制御 (RBAC) でカスタム ロールを作成する。
Get-AzureRmSubscription
$role = Get-AzureRmRoleDefinition "Virtual Machine Contributor" $role.Id = $Null $role.Name = "仮想マシンの起動と停止" $role.Description = "仮想マシンの起動と停止、再起動ができます" $role.Actions.Clear() $role.Actions.Add("Microsoft.Compute/VirtualMachines/start/action") $role.Actions.Add("Microsoft.Compute/VirtualMachines/restart/action") $role.Actions.Add("Microsoft.Compute/VirtualMachines/read") $role.Actions.Add("Microsoft.Compute/virtualMachines//read") $role.Actions.Add("Microsoft.Compute/VirtualMachines/deallocate/action") $role.AssignableScopes.Clear() $role.AssignableScopes.Add("/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx") <--- Get-AzureRmSubscription で取得した SubsctionId を指定。 New-AzureRmRoleDefinition -Role $role
Tags: :インフラストラクチャ, :クラウド, :Azure