[Remediation](修復) ダッシュボードでロール/ポリシーを作成する

  • [アーティクル]

この記事では、Microsoft Entra Permissions Management で [Remediation](修復) ダッシュボードを使用して、アマゾン ウェブ サービス (AWS)、Microsoft Azure、または Google Cloud Platform (GCP) の認可システム用に、ロール/ポリシーを作成する方法について説明します。

Note

[Remediation] (修復) タブを表示するには、閲覧者コントローラー、または管理者のアクセス許可が必要です。 このタブで変更を行うには、[Controller](コントローラー) または [Administrator](管理者) のアクセス許可が必要です。 これらのアクセス許可を持っていない場合は、システム管理者に連絡してください。

Note

Microsoft Azure では、他のクラウド プロバイダーで "ポリシー" と呼ばれているものに対して "ロール" という用語が使用されます。 認可システムの種類を選択すると、Permissions Management によってこの用語変更が自動的に行われます。 ユーザー ドキュメントでは、"ロール/ポリシー" を使用して両方を参照します。

AWS のポリシーを作成する

Note

AWS サービス クォータについて、および AWS サービス クォータの引き上げの要求については、AWS のドキュメントを参照してください。

  1. Microsoft Entra のホーム ページで、[修復] タブ、[ロール/ポリシー] タブの順に選択します。

  2. ドロップダウン リストを使用して、[Authorization System Type](認可システムの種類)[Authorization System](認可システム) を選択します。

  3. [ポリシーを作成する] を選択します。

  4. [Details](詳細) ページで、[Authorization System Type](認可システムの種類)[Authorization System](認可システム) は、前の設定から事前に設定されています。

    • 設定を変更するには、ドロップダウンから選択します。

  5. [How Would You Like To Create The Policy](ポリシーの作成方法) で、必要なオプションを選択します。

    • [Activity of User(s)](ユーザーのアクティビティ): ユーザー アクティビティに基づいてポリシーを作成できます。
    • [Activity of Group(s)](グループのアクティビティ): グループに属するすべてのユーザーの集計されたアクティビティに基づいてポリシーを作成できます。
    • [Activity of Resource(s)](リソースのアクティビティ): リソースのアクティビティ (EC2 インスタンスなど) に基づいてポリシーを作成できます。
    • [Activity of Role](ロールのアクティビティ): ロールを引き受けたすべてのユーザーの集計されたアクティビティに基づいてポリシーを作成できます。
    • [Activity of Tag(s)](タグのアクティビティ): すべてのタグの集計されたアクティビティに基づいてポリシーを作成できます。
    • [Activity of Lambda Function](ラムダ関数のアクティビティ): ラムダ関数に基づいて新しいポリシーを作成できます。
    • [From Existing Policy](既存のポリシーから): 既存のポリシーに基づいて新しいポリシーを作成できます。
    • [New Policy](新しいポリシー): 新しいポリシーを一から作成できます。

  6. [Tasks performed in the last](次の期間に実行されたタスク) では、[90 days](90 日)[60 days](60 日間)[30 days](30 日間)[7 days](7 日間)、または [1 day](1 日間) の中から期間を選択します。

  7. 必要に応じて、[Include Access Advisor data](Access Advisor のデータを含める) を選択または選択解除します。

  8. [Settings](設定) で、[Available](使用可能) 列からプラス記号 (+) を選択して ID を [Selected](選択済み) 列に移動し、[次へ] を選択します。

  9. [Tasks](タスク) ページで、[Available](使用可能) 列からプラス記号 (+) を選択して、タスクを [Selected](選択済み) 列に移動します。

    • カテゴリ全体を追加するには、カテゴリを選択します。
    • カテゴリから個々の項目を追加するには、カテゴリ名の左側にある下矢印を選択し、個々の項目を選択します。

  10. [Resources](リソース) で、[All Resources](すべてのリソース) または [Specific Resources](特定のリソース) を選択します。

    [Specific Resources](特定のリソース) を選択すると、使用可能なリソースの一覧が表示されます。 追加するリソースを見つけて、[追加] を選択します。

  11. [Request Conditions](要求の条件)[JSON] を選択します。

  12. [Effect](効果)[Allow](許可) または [Deny](拒否) を選択し、[次へ] を選択します。

  13. [Policy name:](ポリシー名) には、ポリシーの名前を入力します。

  14. ポリシーに別のステートメントを追加するには、[Add Statement](ステートメントの追加) を選択し、[Statements](ステートメント) の一覧からステートメントを選択します。

  15. [Task](タスク)[Resources](リソース)[Request Conditions](要求の条件)、および [Effect](効果) の各設定を確認し、[次へ] を選択します。

  16. [Preview](プレビュー) ページでスクリプトを確認し、内容が正しいことを確認します。

  17. コントローラーが有効になっていない場合は、[Download JSON](JSON をダウンロード) または [Download Script](スクリプトをダウンロード) を選択してコードをダウンロードし、自分で実行します。

    コントローラーが有効になっている場合は、この手順をスキップします。

  18. [Split Policy](分割ポリシー) を選択し、[Submit](送信) を選択します。

    作成するためにポリシーが送信されたことを確認するメッセージが表示されます

  19. Permissions Management 作業ペインが右側に表示されます。

    • Active タブには、現在処理されているPermissions Managementポリシーの一覧が表示されます。
    • Completed タブには、完了したPermissions Managementポリシーの一覧が表示されます。

  20. [Role/Policies](ロール/ポリシー) タブを更新して、作成したポリシーを表示します。

Azure のロールを作成する

  1. Permissions Managementのホーム ページで、[Remediation](修復) タブを選択し、次に アクセス許可 サブタブを選択します。

  2. ドロップダウン リストを使用して、[Authorization System Type](認可システムの種類)[Authorization System](認可システム) を選択します。

  3. [Create Role](ロールの作成) を選択します。

  4. [Details](詳細) ページで、[Authorization System Type](認可システムの種類)[Authorization System](認可システム) は、前の設定から事前に設定されています。

    • 設定を変更するには、ボックスを選択し、ドロップダウンから選択します。

  5. [How Would You Like To Create The Role?](ロールの作成方法) で、必要なオプションを選択します。

    • [Activity of User(s)](ユーザーのアクティビティ): ユーザー アクティビティに基づいてロールを作成できます。
    • [Activity of Group(s)](グループのアクティビティ): グループに属するすべてのユーザーの集計されたアクティビティに基づいてロールを作成できます。
    • [Activity of App(s)](アプリのアクティビティ): すべてのアプリの集計されたアクティビティに基づいてロールを作成できます。
    • [From Existing Role](既存のロールから): 既存のロールに基づいて新しいロールを作成できます。
    • [New Role](新しいロール): 新しいロールを一から作成できます。

  6. [Tasks performed in the last](次の期間に実行されたタスク) では、[90 days](90 日)[60 days](60 日間)[30 days](30 日間)[7 days](7 日間)、または [1 day](1 日間) の中から期間を選択します。

  7. 必要に応じて次を実行します。

    • [Ignore Non-Microsoft Read Actions](Microsoft 以外の読み取りアクションを無視する) を選択または選択解除します。
    • [Include Read-Only Tasks](読み取り専用タスクを含める) を選択または選択解除します。

  8. [Settings](設定) で、[Available](使用可能) 列からプラス記号 (+) を選択して ID を [Selected](選択済み) 列に移動し、[次へ] を選択します。

  9. [Tasks](タスク) ページの [Role name:](ロール名) に、ロールの名前を入力します。

  10. [Available](使用可能) 列からプラス記号 (+) を選択して、タスクを [Selected](選択済み) 列に移動します。

    • カテゴリ全体を追加するには、カテゴリを選択します。
    • カテゴリから個々の項目を追加するには、カテゴリ名の左側にある下矢印を選択し、個々の項目を選択します。

  11. [次へ] を選択します。

  12. (省略可能) 管理者は、スコープとして使用するリソース グループのスコープ文字列をコピーできます。 Azure で、[リソース グループ]>[監視]>[プロパティ] の順に選択し、リソース ID をコピーします。

  13. [Preview](プレビュー) ページで、次を確認します。

    • 選択したアクションアクション以外の一覧。
    • JSON またはスクリプト。それが選択した内容であることを確認します。

  14. コントローラーが有効になっていない場合は、[Download JSON](JSON をダウンロード) または [Download Script](スクリプトをダウンロード) を選択してコードをダウンロードし、自分で実行します。

    コントローラーが有効になっている場合は、この手順をスキップします。

  15. [Submit](送信) をクリックします。

    作成するためにロールが送信されたことを確認するメッセージが表示されます

  16. アクセス許可管理 作業ペインが右側に表示されます。

    • Active タブには、現在処理されているPermissions Managementポリシーの一覧が表示されます。
    • Completed タブには、完了したPermissions Managementポリシーの一覧が表示されます。

  17. [Role/Policies](ロール/ポリシー) タブを更新して、作成したロールを表示します。

GCP のロールを作成する

  1. Permissions Managementのホーム ページで、[Remediation](修復) タブを選択し、次に アクセス許可 サブタブを選択します。

  2. ドロップダウン リストを使用して、[Authorization System Type](認可システムの種類)[Authorization System](認可システム) を選択します。

  3. [Create Role](ロールの作成) を選択します。

  4. [Details](詳細) ページで、[Authorization System Type](認可システムの種類)[Authorization System](認可システム) は、前の設定から事前に設定されています。

    • 設定を変更するには、ボックスを選択し、ドロップダウンから選択します。

  5. [How Would You Like To Create The Role?](ロールの作成方法) で、必要なオプションを選択します。

    • [Activity of User(s)](ユーザーのアクティビティ): ユーザー アクティビティに基づいてロールを作成できます。
    • [Activity of Group(s)](グループのアクティビティ): グループに属するすべてのユーザーの集計されたアクティビティに基づいてロールを作成できます。
    • [Activity of Service Account(s)](サービス アカウントのアクティビティ): すべてのサービス アカウントの集計されたアクティビティに基づいてロールを作成できます。
    • [From Existing Role](既存のロールから): 既存のロールに基づいて新しいロールを作成できます。
    • [New Role](新しいロール): 新しいロールを一から作成できます。

  6. [Tasks performed in the last](次の期間に実行されたタスク) では、[90 days](90 日)[60 days](60 日間)[30 days](30 日間)[7 days](7 日間)、または [1 day](1 日間) の中から期間を選択します。

  7. 前の手順で [Activity Of Service Account(s)](サービス アカウントのアクティビティ) を選択した場合は、[Collect activity across all GCP Authorization Systems](すべての GCP 認可システムでアクティビティを収集する) を選択または選択解除します。

  8. [Available](使用可能) 列からプラス記号 (+) を選択して、ID を [Selected](選択済み) 列に移動し、[次へ] を選択します。

  9. [Tasks](タスク) ページの [Role name:](ロール名) に、ロールの名前を入力します。

  10. [Available](使用可能) 列からプラス記号 (+) を選択して、タスクを [Selected](選択済み) 列に移動します。

    • カテゴリ全体を追加するには、カテゴリを選択します。
    • カテゴリから個々の項目を追加するには、カテゴリ名の左側にある下矢印を選択し、個々の項目を選択します。

  11. [次へ] を選択します。

  12. [Preview](プレビュー) ページで、次を確認します。

    • 選択したアクションの一覧。
    • YAML またはスクリプト。それが選択した内容であることを確認します。

  13. コントローラーが有効になっていない場合は、[Download YAML](YAML をダウンロード) または [Download Script](スクリプトをダウンロード) を選択してコードをダウンロードし、自分で実行します。

  14. [Submit](送信) をクリックします。 作成するためにロールが送信されたことを確認するメッセージが表示されます

  15. アクセス許可管理 作業ペインが右側に表示されます。

    • Active タブには、現在処理されているPermissions Managementポリシーの一覧が表示されます。
    • Completed タブには、完了したPermissions Managementポリシーの一覧が表示されます。

  16. [Role/Policies](ロール/ポリシー) タブを更新して、作成したロールを表示します。

次の手順