ユーザー割り当てマネージド ID を作成して割り当てる

  • [アーティクル]

この攻略ガイドでは、以下の方法について説明します。

  • サイト ネットワーク サービス (SNS) のユーザー割り当てマネージド ID (UAMI) を作成する。
  • そのユーザー割り当てマネージド ID のアクセス許可を割り当てる。

ユーザー割り当てマネージド ID の要件と必要なアクセス許可は、ネットワーク サービス設計 (NSD) によって異なり、ネットワーク サービス デザイナーから通知されている必要があります。

前提条件

  • カスタム ロールの作成を通じてカスタム ロールを作成しておく必要があります。 この記事では、カスタム ロールに "Custom Role - AOSM Service Operator access to Publisher" という名前を付けたことを前提としています。

  • お使いのネットワーク サービス デザイナーから、マネージド ID に必要なその他のアクセス許可と、SNS で使用するネットワーク関数定義バージョン (NFDV) が通知されている必要があります。

  • このタスクを実行するには、選択した発行元のネットワーク機能定義バージョン リソースに対する "所有者" または "ユーザー アクセス管理者" ロールが必要です。 また、マネージド ID を作成してアクセス許可を割り当てるには、"所有者" ロールまたは "ユーザー アクセス管理者" ロールが割り当てられているリソース グループも必要です。

ユーザー割り当てマネージド ID を作成する

ユーザー割り当てマネージド ID を作成します。 詳細については、SNS 用のユーザー割り当てマネージド ID を作成するに関するページを参照してください。

カスタム ロールを割り当てる

ユーザー割り当てマネージド ID にカスタム ロールを割り当てます。

カスタム ロールを割り当てるスコープを選択する

カスタム ロールを割り当てる必要がある発行元リソースは次のとおりです。

  • ネットワーク機能定義バージョン

カスタム ロールをこの NFDV に個別に割り当てるか、発行元リソース グループやネットワーク関数定義グループなどの親リソースに割り当てるかを決定する必要があります。

親リソースに適用すると、すべての子リソースに対するアクセス権が付与されます。 たとえば、発行元リソース グループ全体に適用すると、マネージド ID に次のアクセス権が付与されます。

  • すべてのネットワーク関数定義のグループとバージョン。

  • すべてのネットワーク サービス設計のグループとバージョン。

  • すべての構成グループ スキーマ。

カスタム ロールのアクセス許可は、次に示すアクセス許可のリストへのアクセスを制限します。

  • Microsoft.HybridNetwork/Publishers/NetworkFunctionDefinitionGroups/NetworkFunctionDefinitionVersions/use/action

  • Microsoft.HybridNetwork/Publishers/NetworkFunctionDefinitionGroups/NetworkFunctionDefinitionVersions/read

  • Microsoft.HybridNetwork/Publishers/NetworkServiceDesignGroups/NetworkServiceDesignVersions/use/action

  • Microsoft.HybridNetwork/Publishers/NetworkServiceDesignGroups/NetworkServiceDesignVersions/read

  • Microsoft.HybridNetwork/Publishers/ConfigurationGroupSchemas/read

Note

これらの発行元リソースへの書き込みアクセスまたは削除アクセスを提供しないでください。

カスタム ロールを割り当てる

  1. Azure portal にアクセスし、選択したスコープ (発行元リソース グループまたはネットワーク関数定義のバージョン) を開きます。

  2. この項目のサイド メニューで、[アクセス制御 (IAM)] を選択します。

  3. [ロールの割り当ての追加] を選択します。

    発行元リソース グループのアクセス制御ページを示すスクリーンショット。

  4. [ジョブ関数のロール] の下のリスト内でご自分のカスタム ロールを見つけて、[次へ] 進みます。

    ロールの割り当ての追加画面を示すスクリーンショット。

  5. [マネージド ID][+ メンバーの選択] の順に選択して、新しいマネージド ID を見つけて選びます。 [選択] を選択します。

    ロールの割り当ての追加とマネージド ID の選択を示すスクリーンショット。

  6. [確認と作成] を選択します。

ロールの割り当てを繰り返す

選択したすべてのスコープに対してロールの割り当てタスクを繰り返します。

マネージド ID オペレーター ロールをマネージド ID 自体に割り当てる

  1. Azure portal に移動し、マネージド ID を検索します。

  2. マネージド ID の一覧から [identity-for-nginx-sns] を選択します。

  3. サイド メニューで、[アクセス制御 (IAM)] を選択します。

  4. [ロール割り当ての追加] を選択し、マネージド ID オペレーター ロールを選択します。 マネージド ID オペレーター ロールのロール割り当ての追加を示すスクリーンショット。

  5. [マネージド ID オペレーター] ロールを選択します。

    マネージド ID オペレーター ロールを示すスクリーンショット。

  6. [マネージド ID] を選択します。

  7. [+ メンバーの選択] を選択し、ユーザー割り当てマネージド ID に移動して割り当てを続行します。

    [マネージド ID] が選択された [ロールの割り当ての追加] 画面を示すスクリーンショット。

この記事で説明されているすべてのタスクを完了すると、サイト ネットワーク サービス (SNS) に、指定した Azure 環境内で効果的に機能するために必要なアクセス許可が付与されます。

マネージド ID に必要なその他のアクセス許可を割り当てる

このプロセスを繰り返して、お使いのネットワーク サービス デザイナーによって識別されたマネージド ID に他のアクセス許可を割り当てます。