Azure Quantum ワークスペースへのロールベースのアクセスについて
Azure Quantum ワークスペースへのアクセスを管理するために使用できるさまざまなセキュリティ プリンシパルとロールについて説明します。
Azure ロールベースのアクセス制御
Azure ロールベースのアクセス制御 (Azure RBAC) は、ワークスペースなどの Azure リソースへのアクセスを管理するために使用する承認システムです。 アクセス権を付与するには、セキュリティ プリンシパルにロールを割り当てます。
セキュリティ プリンシパル
セキュリティ プリンシパルは、ユーザー、グループ、サービス プリンシパル、またはマネージド ID を表すオブジェクトです。
| セキュリティ プリンシパル | Definition |
|---|---|
| User | リソースを作成、管理、使用するために Azure にサインインするユーザー アカウント。 |
| グループ | ユーザーのグループ。 リソースに対する同じアクセスとアクセス許可を必要とするユーザーを管理するために使用されます。 |
| サービス プリンシパル | リソースにアクセスする必要があるアプリケーション、サービス、またはプラットフォームのユーザー ID。 |
| マネージド ID | Azure AD 認証をサポートするリソースに接続するときにアプリケーションが使用する Azure Active Directory (Azure AD) の自動マネージド ID。 |
ロール
セキュリティ プリンシパルへのアクセス権を付与するときは、組み込みロールを割り当てるかカスタム ロールを作成します。 最も一般的に使用される組み込みロールは、 Owner、 Contributor、および Reader です。
| ロール | アクセス レベル |
|---|---|
| Owner | Azure RBAC でロールを割り当てる権限を含め、すべてのリソースを管理するためのフル アクセスを付与します。 |
| Contributor | すべてのリソースを管理するためのフル アクセス権を付与しますが、Azure RBAC でロールを割り当てることはできません。 |
| Reader | すべてのリソースを表示しますが、変更を加えることはできません。 |
範囲
ロールは特定のスコープで割り当てられます。 "スコープ" は、アクセスが適用されるリソースのセットです。 スコープは親子関係で構造化されています。 階層のレベルごとに、スコープがより限定的になります。 選択するレベルで、ロールの適用範囲が決まります。 上位レベルのロールのアクセス許可が下位レベルに継承されます。 ロールは、管理グループ、サブスクリプション、リソース グループ、またはリソースの 4 つのレベルで割り当てることができます。
| Scope | 説明 |
|---|---|
| 管理グループ | 複数のサブスクリプションのアクセス、ポリシー、コンプライアンスを管理するのに役立ちます。 管理グループ内のすべてのサブスクリプションは、管理グループに適用された条件を自動的に継承します。 組織に複数のサブスクリプションがある場合は、管理グループが必要になる場合があります。 |
| サブスクリプション | ユーザー アカウント作成したリソースに論理的に関連付けます。 ユーザー アカウントは、ユーザー ID と 1 つ以上のサブスクリプションです。 サブスクリプションは、Azure リソースのグループを表します。 請求書は、サブスクリプション スコープで生成されます。 Azure リソースを作成するには、アクティブなサブスクリプションを持つアカウントが必要です。 サブスクリプション オプションについては、「 Azure Quantum ワークスペースの作成」を参照してください。 |
| リソース グループ | Azure ソリューションの関連リソースを保持するコンテナー。 リソース グループには、グループとして管理するリソースが含まれます。 たとえば、Azure Quantum でアプリケーションを実行するには、次のリソースが必要です。
|
| リソース | ワークスペースやストレージ アカウントなど、作成できるサービスのインスタンス。 |
Note
Azure ではアクセスのスコープを複数のレベルに設定できるため、ユーザーは各レベルで異なるロールを持つことができます。 たとえば、ワークスペースへの所有者アクセス権を持つユーザーであっても、そのワークスペースが含まれるリソース グループへの所有者アクセス権を持っていないことがあります。
ワークスペースを作成するためのロールの要件
新しいワークスペースを作成 場合最初に、ワークスペースに関連付けるサブスクリプション、リソース グループ、ストレージ アカウントを選択します。 ワークスペースを作成する機能は、サブスクリプションスコープから始めて、持っているアクセスレベルによって異なります。 さまざまなリソースの承認を表示するには、「 ロールの割り当てを確認するを参照してください。
サブスクリプションの所有者
サブスクリプション所有者は、 Quick create または Advanced create オプションを使用してワークスペースを作成できます。 サブスクリプションの下に既に存在するリソース グループとストレージ アカウントを選択するか、新しいリソース グループとストレージ アカウントを作成できます。 また、ロールを他のユーザーに割り当てることもできます。
サブスクリプションの共同作成者
サブスクリプション共同作成者は、 Advanced create オプションを使用してワークスペースを作成できます。
新しいストレージ アカウントを作成するには、所有者である既存のリソース グループを選択する必要があります。
既存のストレージ アカウントを選択するには、ストレージ アカウントの所有者である必要があります。 ストレージ アカウントが属している既存のリソース グループも選択する必要があります。
サブスクリプションの共同作成者は、他のユーザーにロールを割り当てることはできません。
サブスクリプション閲覧者
サブスクリプション閲覧者はワークスペースを作成できません。 サブスクリプションで作成されたすべてのリソースを表示できますが、変更を加えたりロールを割り当てたりすることはできません。
ロールの割り当てを確認する
サブスクリプションを確認する
サブスクリプションと関連するロールの一覧を表示するには:
- Azure portal にサインインします。
- [Azure サービス] の見出しの下にある [サブスクリプション] を選択します。 ここに [サブスクリプション] が表示されない場合は、検索ボックスを使用して検索します。
- 検索ボックスの横にあるサブスクリプション フィルターは、既定で Subscriptions == global フィルター。 すべてのサブスクリプションの一覧を表示するには、[サブスクリプション] フィルターを選択し[選択したサブスクリプションのみを選択]を選択します。箱。 適用を選択します。 フィルターには、サブスクリプション == all が表示されます。
リソースを確認する
特定のリソースに対して自分または他のユーザーが持っているロールの割り当てを確認するには、「 ユーザーから Azure リソースへのアクセス権を確認するを参照してください。
ロールの割り当て
ワークスペースに新しいユーザーを追加するには、ワークスペースの所有者である必要があります。 10 人以下のユーザーにワークスペースへのアクセス権を付与するには、「 Azure Quantum ワークスペースへのアクセスを共有する」を参照してください。 10 人以上のユーザーにアクセス権を付与するには、「 Azure Quantum ワークスペースにグループを追加するを参照してください。
サブスクリプション レベルを含め、任意のスコープで任意のリソースのロールを割り当てるには、「 Azure portal を使用して Azure ロールを割り当てるを参照してください。
トラブルシューティング
Azure でリソース (ワークスペースなど) を作成しても、リソースの直接の所有者にはなりません。 ロールは、そのサブスクリプションで認可されている最も高いスコープのロールから継承されます。
新しいロールの割り当てが、スタック全体でキャッシュされたアクセス許可に対して有効になるまでに最大 1 時間かかる場合があります。
一般的な問題の解決策については、「 Azure Quantum のトラブルシューティング: Azure Quantum ワークスペースの作成」を参照してください。