Azure Stack Hub でロールベースのアクセス制御を使用してリソースへのアクセスを管理する

Azure Stack Hub はロールベースのアクセス制御 (RBAC) をサポートしますが、これはアクセス管理のためのセキュリティ モデルであり、Microsoft Azure が使用するものと同じです。 RBAC を使用して、ユーザー、グループ、またはアプリによるサブスクリプション、リソース、およびサービスへのアクセスを管理することができます。

アクセス管理の基礎

ロールベースのアクセス制御 (RBAC) は、環境をセキュリティで保護するために使用できるきめ細やかなアクセス制御を提供します。 特定のスコープで RBAC のロールを割り当てることによって、ユーザーに必要な正しいアクセス許可をユーザーに付与します。 ロール割り当てのスコープには、サブスクリプション、リソース グループ、または単独のリソースを指定できます。 アクセス管理の詳細については、Azure portal でのロールベースのアクセス制御に関する記事を参照してください。

注意

Active Directory フェデレーション サービス (AD FS) を使用して Azure Stack Hub を ID プロバイダーとしてデプロイした場合、RBAC シナリオではユニバーサル グループのみがサポートされます。

組み込みのロール

Azure Stack Hub には、すべてのリソースの種類に適用できる 3 つの基本的なロールがあります:

  • 所有者: Azure Stack RBAC でロールを割り当てる機能を含め、すべてのリソースを管理するためのフル アクセスを許可します。
  • 共同作成者: すべてのリソースを管理するためのフル アクセスを許可しますが、Azure Stack RBAC でロールを割り当てすることはできません。
  • 閲覧者: すべてを閲覧できますが、変更を加えることはできません。

リソース階層と継承

Azure Stack Hub には、次のリソース階層があります:

  • 各サブスクリプションは、1 つのディレクトリに属しています。
  • 各リソース グループは、1 つのサブスクリプションに属しています。
  • 各リソースは、1 つのリソース グループに属しています。

親スコープで付与されたアクセス権は、子スコープに継承されます。 次に例を示します。

  • 閲覧者ロールは、サブスクリプション スコープでMicrosoft Entra グループに割り当てます。 そのグループのメンバーは、サブスクリプション内のすべてのリソース グループとすべてのリソースを表示できるようになります。
  • 共同作成者ロールをリソース グループ スコープでアプリに割り当てます。 そのアプリでは、そのリソース グループ内のすべてのタイプのリソースを管理できるようになりますが、サブスクリプション内の他のリソース グループは管理できません。

ロールの割り当て

ユーザーに複数のロールを割り当てることができ、各ロールを異なるスコープに関連付けることができます。 次に例を示します。

  • Subscription-1 の閲覧者ロールを TestUser-A に割り当てます。
  • TestVM-1 の所有者ロールを TestUser-A に割り当てます。

Azure のロールの割り当ての記事では、ロールの表示、割り当て、および削除について詳細が説明されています。

ユーザーのアクセス権限の設定

次の手順では、ユーザーのアクセス許可の構成方法について説明します。

  1. 管理するリソースへの所有者アクセス許可があるアカウントでサインインします。

  2. 左側のナビゲーション ペインで、 [リソース グループ] を選択します。

  3. アクセス許可を設定するリソース グループの名前を選択します。

  4. リソース グループのナビゲーション ペインで、[アクセス制御 (IAM)] を選択します。
    [ロールの割り当て] ビューに、リソース グループへのアクセス権を持つ項目が一覧表示されます。 結果はフィルター処理してグループ化できます。

  5. [アクセス制御] メニュー バーで、[追加] を選択します。

  6. [アクセス許可の追加] ウィンドウで:

    • 割り当てるロールを [ロール] ドロップダウン リストから選択します。
    • 割り当てるリソースを [アクセスの割り当て先] ドロップダウン リストから選択します。
    • ディレクトリで、アクセス権を付与するユーザー、グループ、またはアプリを選択します。 ディレクトリは、表示名、電子メール アドレス、およびオブジェクト識別子を使用して検索できます。
  7. [保存] を選択します。

次のステップ

サービス プリンシパルの作成