アクセス管理の詳細を確認する
クラウド リソースのアクセス管理は、クラウドを使っている組織にとって重要な機能です。 ロールベースのアクセス制御 (RBAC) は、Azure のリソースにアクセスできるユーザー、そのユーザーがそれらのリソースに対して実行できること、そのユーザーがアクセスできる領域を管理するのに役立ちます。 Azure RBAC は Azure Resource Manager 上に構築された承認システムであり、Azure リソースに対するアクセスをきめ細かく管理できます。
RBAC を使用してリソースへのアクセスを制御するには、ロールの割り当てを作成します。 これは、アクセス許可が適用される方法であり、理解する必要のある重要な概念です。 ロールの割り当ては、セキュリティ プリンシパル、ロールの定義、スコープの 3 つの要素で構成されています。
セキュリティ プリンシパル:セキュリティ プリンシパルは、Azure リソースへのアクセスを要求しているユーザー、グループ、サービス プリンシパル、またはマネージド ID を表すオブジェクトです。
- ユーザー: Microsoft Entra ID 内にプロファイルを持つ個人。
- グループ:Microsoft Entra ID 内に作成されたユーザーのセット。
- サービス プリンシパル: 特定の Azure リソースにアクセスするためにアプリケーションまたはサービスによって使われるセキュリティ ID です。 アプリケーションに対するユーザー ID (ユーザー名とパスワード、または証明書) と考えることができます。
- マネージド ID:Azure によって自動的に管理される Microsoft Entra ID 内の ID。 通常、マネージド ID は、Azure サービスに対する認証を受けるための資格情報を管理するクラウド アプリケーションを開発するときに使用します。 たとえば、Azure 仮想マシンにマネージド ID を割り当てて、その仮想マシン内で実行されているソフトウェアが他の Azure リソースにアクセスできるようにすることができます。
ロールの定義 - ロールの定義は、アクセス許可のコレクションです。 ロールと呼ばれることもあります。 ロール定義には、実行できる操作 (読み取り、書き込み、削除など) が登録されています。 ロールは、所有者のように高レベルにすることも、仮想マシン リーダーのように限定することもできます。 Azure には複数の組み込みロールがあり、使用できます。 4 つの基本的な組み込みロールを次に示します。 最初の 3 つは、すべてのリソースの種類に適用されます。
所有者: 他のユーザーにアクセス許可を委任する権限を含め、すべてのリソースへのフル アクセス権を持ちます。
共同作成者: すべての種類の Azure リソースを作成および管理できますが、他のユーザーにアクセス許可を付与することはできません。
閲覧者: 既存の Azure リソースを表示できます。
ユーザー アクセス管理者: Azure リソースへのユーザー アクセスを管理できます。
残りの組み込みロールは、特定の Azure リソースの管理を許可します。 たとえば、仮想マシン共同作成者ロールが割り当てられたユーザーには、仮想マシンの作成と管理が許可されます。 組み込みロールが組織の特定のニーズを満たさない場合は、独自に Azure リソースに対するカスタム ロールを作成することができます。
スコープ: スコープは、アクセス権が適用されるリソースのセットです。 ロールを割り当てるときに、スコープを定義することによって、許可される操作をさらに制限できます。 Azure では、複数のレベル (管理グループ、サブスクリプション、リソース グループ、リソース) でスコープを指定できます。 スコープは親子関係で構造化されています。