条件付きで Azure ロールの割り当て管理を他者に委任する

  • [アーティクル]

管理者は、他のユーザーに委任させたい Azure リソースへのアクセス権を付与する依頼をいくつか受ける場合があります。 ユーザーに所有者またはユーザー アクセス管理者のロールを割り当てることができますが、これらは高い特権を持つロールです。 この記事では、組織内の他のユーザーにロールの割り当て管理を委任すると同時に、それらのロールの割り当てに制限を追加するためのより安全な方法について説明します。 たとえば、割り当てできるロールを制約したり、ロールが割り当てできるプリンシパルを制約したりできます。

次の図は、条件を有する代理人が、Marketing または Sales グループに限ってバックアップ共同作成者またはバックアップ閲覧者のロールのみを割り当てできる方法を示しています。

条件付きでロールの割り当て管理を委任している管理者を表す図。

前提条件

Azure ロールを割り当てるには、次のものが必要です。

手順 1: 代理人が必要とするアクセス許可を特定する

代理人が必要とするアクセス許可を特定できるようにするには、次の質問に回答します。

  • 代理人はどのロールを割り当ててもよいか?
  • 代理人はどの種類のプリンシパルにロールを割り当ててもよいか?
  • 代理人はどのプリンシパルにロールを割り当ててもよいか?
  • 代理人は任意のロールの割り当てを削除してもよいか?

代理人が必要とするアクセス許可を把握したら、次の手順を使用して、代理人のロールの割り当てに条件を追加します。 条件の例については、「条件付きで Azure ロールの割り当て管理を委任する例」を参照してください。

手順 2: 新しいロールの割り当てを開始する

  1. Azure portal にサインインします。

  2. 次の手順に従って、[ロールの割り当てを追加] ページを開きます

  3. [ロール] タブで、[Privileged administrator role]\(特権管理者ロール\) タブを選択します。

  4. [ロール ベースのアクセス制御管理者] ロールを選択します。

    [条件] タブが表示されます。

    ユーザー アクセス管理者など、Microsoft.Authorization/roleAssignments/write または Microsoft.Authorization/roleAssignments/delete アクションを含む任意のロールを選択できますが、ロール ベースのアクセス制御管理者が持っているアクセス許可はより少なくなります。

  5. [メンバー] タブで、代理人を見つけて選択します。

手順 3: 条件を追加する

条件を追加する方法は 2 つあります。 条件テンプレートを使用することも、高度な条件エディターを使用することもできます。

  1. [条件] タブの [What user can do] (ユーザーができる操作) の下にある [Allow user to only assign selected roles to selected principals (fewer privileges)] (選択したプリンシパルに選択したロールのみを割り当てることをユーザーに許可 (少ない権限)) オプションを選択します。

    制約付きオプションが選択されている、[ロールの割り当ての追加] のスクリーンショット。

  2. [ロールとプリンシパルの選択] を選択します。

    [ロールの割り当て条件を追加する] ページが表示され、条件テンプレートの一覧が示されます。

    条件テンプレートの一覧を含む [ロールの割り当の追加] 条件のスクリーンショット。

  3. 条件テンプレートを選択し、[構成] を選択します。

    条件テンプレート このテンプレートを選択する目的
    Constrain roles (ロールを制約する) 選択したロールの割り当てのみをユーザーに許可する
    Constrain roles and principal types (ロールとプリンシパルの種類を制約する) 選択したロールの割り当てのみをユーザーに許可する
    選択したプリンシパルの種類 (ユーザー、グループ、またはサービス プリンシパル) にのみ、これらのロールを割り当てることをユーザーに許可する
    Constrain roles and principals (ロールとプリンシパルを制約する) 選択したロールの割り当てのみをユーザーに許可する
    選択したプリンシパルにのみ、これらのロールを割り当てることをユーザーに許可する
    特定のロールを除くすべてのロールを許可する 自分が選択したロールを除くすべてのロールの割り当てをユーザーに許可する

  4. 構成ペインで、必要な構成を追加します。

    選択内容が追加された条件の [構成] ウィンドウのスクリーンショット。

  5. [保存] を選択して、ロールの割り当てに条件を追加します。

手順 4: 条件付きのロールを代理人に割り当てる

  1. [Review + assign](確認と割り当て) タブで、ロールの割り当ての設定を確認します。

  2. [Review + assign](確認と割り当て) を選択してロールを割り当てます。

    しばらくすると、代理人には、ロールの割り当て条件が付いたロール ベースのアクセス制御管理者ロールが割り当てられます。

手順 5: 代理人が条件付きでロールを割り当てる

  • これで、代理人は、ロールを割り当てる手順に従うことができます。

    特定のロールと特定のグループに制限されているロールの割り当ての図。

    代理人が Azure portal でロールを割り当てようとすると、ロールの一覧がフィルター処理され、割り当て可能なロールだけが表示されます。

    特定のロールに制限されているロールの割り当てのスクリーンショット。

    プリンシパルに関する条件がある場合は、割り当てに使用できるプリンシパルの一覧もフィルター処理されます。

    特定のグループに制限されているロールの割り当てのスクリーンショット。

    代理人が API を使用して条件外のロールを割り当てようとすると、ロールの割り当てはエラーで失敗します。 詳細については、「症状 - ロールを割り当てることができない」を参照してください。

条件を編集する

条件を編集する方法は 2 つあります。 条件テンプレートを使用するか、条件エディターを使用することができます。

  1. Azure portal で、表示、編集、削除を行いたい条件を持つロールの割り当ての [アクセスの制御 (IAM)] ページを開きます。

  2. [ロールの割り当て] タブを選択して該当するロールの割り当てを見つけます。

  3. [条件] 列で、[表示/編集] を選択します。

    [表示/編集] リンクが表示されない場合は、ロールの割り当てと同じスコープを見ていることを確認してください。

    条件の [表示/編集] リンクを含むロールの割り当てリストのスクリーンショット。

    [ロールの割り当ての条件の追加] ページが表示されます。 このページの見た目は、条件が既存のテンプレートと一致するかどうかによって異なります。

  4. 条件が既存のテンプレートと一致する場合は、[構成] を選択して条件を編集します。

    一致するテンプレートが有効になっている条件テンプレートのスクリーンショット。

  5. 条件が既存のテンプレートと一致しない場合は、詳細条件エディターを使用して条件を編集します。

    たとえば、条件を編集するには、[式の構築] セクションまで下にスクロールし、属性、演算子、値を更新します。

    [式の構築] を編集するためのオプションが表示された条件エディターのスクリーンショット。

    条件を直接編集するには、コード エディター タイプを選択した後、条件のコードを編集します。

    コード エディター タイプが表示された条件エディターのスクリーンショット。

  6. 完了したら、[保存] をクリックして条件を更新します。

次のステップ