ロールベースのAccess Controlを使用して Azure Stack HCI Virtual Machinesを管理する
適用対象: Azure Stack HCI バージョン 23H2
この記事では、ロールベースのAccess Control (RBAC) を使用して、Azure Stack HCI クラスターで実行されている Arc 仮想マシン (VM) へのアクセスを制御する方法について説明します。
組み込みの RBAC ロールを使用して、仮想ディスク、ネットワーク インターフェイス、VM イメージ、論理ネットワーク、ストレージ パスなどの VM と VM リソースへのアクセスを制御できます。 これらのロールは、ユーザー、グループ、サービス プリンシパル、マネージド ID に割り当てることができます。
重要
現在、この機能はプレビュー段階にあります。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用される法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。
組み込みの RBAC ロールについて
Azure Stack HCI 上の VM と VM リソースへのアクセスを制御するには、次の RBAC ロールを使用できます。
- Azure Stack HCI 管理者 - このロールは、Azure Stack HCI クラスターとそのリソースへのフル アクセスを許可します。 Azure Stack HCI 管理者は、クラスターを登録し、Azure Stack HCI VM 共同作成者と Azure Stack HCI VM 閲覧者ロールを他のユーザーに割り当てることができます。 また、論理ネットワーク、VM イメージ、ストレージ パスなどのクラスター共有リソースを作成することもできます。
- Azure Stack HCI VM 共同作成者 - このロールは、VM の起動、停止、再起動など、すべての VM アクションを実行するためのアクセス許可を付与します。 Azure Stack HCI VM 共同作成者は、VM だけでなく、VM にアタッチされているリソースと拡張機能も作成および削除できます。 Azure Stack HCI VM 共同作成者は、クラスターを登録したり、他のユーザーにロールを割り当てたり、論理ネットワーク、VM イメージ、ストレージ パスなどのクラスター共有リソースを作成したりすることはできません。
- Azure Stack HCI VM 閲覧者 - このロールは、VM のみを表示するためのアクセス許可を付与します。 VM リーダーは、VM または VM リソースと拡張機能に対してアクションを実行できません。
VM とさまざまな VM リソースに対して各ロールによって付与される VM アクションについて説明する表を次に示します。 VM リソースは、VM を作成するために必要なリソースと呼ばれ、仮想ディスク、ネットワーク インターフェイス、VM イメージ、論理ネットワーク、ストレージ パスが含まれます。
| 組み込みロール | VM | VM リソース |
|---|---|---|
| Azure Stack HCI 管理者 | VM の作成、一覧表示、削除 VM の起動、停止、再起動 |
論理ネットワーク、VM イメージ、ストレージ パスを含むすべての VM リソースを作成、一覧表示、削除する |
| Azure Stack HCI VM 共同作成者 | VM の作成、一覧表示、削除 VM の起動、停止、再起動 |
論理ネットワーク、VM イメージ、ストレージ パスを除くすべての VM リソースを作成、一覧表示、削除する |
| Azure Stack HCI VM 閲覧者 | すべての VM を一覧表示する | すべての VM リソースを一覧表示する |
前提条件
作業を開始する前に、次の前提条件を満たしていることを確認してください。
デプロイおよび登録されている Azure Stack HCI クラスターにアクセスできることを確認します。 デプロイ中に、Arc リソース ブリッジとカスタムの場所も作成されます。
Azure のリソース グループに移動します。 Azure Stack HCI クラスター用に作成されたカスタムの場所と Azure Arc リソース ブリッジを確認できます。 サブスクリプション、リソース グループ、およびカスタムの場所は、このシナリオの後半で使用するときにメモしておきます。
他のユーザーにロールを割り当てるには、所有者またはユーザー アクセス管理者として Azure サブスクリプションにアクセスできることを確認します。
RBAC ロールをユーザーに割り当てる
Azure portalを使用して、RBAC ロールをユーザーに割り当てることができます。 RBAC ロールをユーザーに割り当てるには、次の手順に従います。
Azure Portal で、アクセス権を付与するスコープを検索します 。たとえば、サブスクリプション、リソース グループ、または特定のリソースを検索します。 この例では、Azure Stack HCI クラスターがデプロイされているサブスクリプションを使用します。
サブスクリプションに移動し、 アクセス制御 (IAM) > ロールの割り当てに移動します。 上部のコマンド バーで、[ + 追加] を選択し、[ ロールの割り当ての追加] を選択します。
ロールを割り当てるアクセス許可がない場合は、[ ロールの割り当ての追加] オプションが無効になります。
[ ロール ] タブで、割り当てる RBAC ロールを選択し、次のいずれかの組み込みロールから選択します。
- Azure Stack HCI 管理者
- Azure Stack HCI VM 共同作成者
- Azure Stack HCI VM 閲覧者
![Azure Stack HCI クラスターのAzure portalでの RBAC ロールの割り当て中の [ロール] タブを示すスクリーンショット。](media/assign-vm-rbac-roles/add-role-assignment-2.png)
[ メンバー ] タブで、 ユーザー、グループ、またはサービス プリンシパルを選択します。 ロールを割り当てるメンバーも選択します。
![Azure Stack HCI クラスターのAzure portalでのロールの割り当て中に [メンバー] タブを示すスクリーンショット。](media/assign-vm-rbac-roles/add-role-assignment-3.png)
ロールを確認して割り当てます。
![Azure Stack HCI クラスターのAzure portalでのロールの割り当て中に [確認と割り当て] タブを示すスクリーンショット。](media/assign-vm-rbac-roles/add-role-assignment-4.png)
ロールの割り当てを確認します。 [ アクセス制御 (IAM)] > [アクセスの確認] [自分のアクセス > の表示] に移動します。 ロールの割り当てが表示されます。
![Azure Stack HCI クラスターのAzure portalでの RBAC ロールの割り当て中の [ロール] タブを示すスクリーンショット。](media/assign-vm-rbac-roles/add-role-assignment-2.png#lightbox)
![Azure Stack HCI クラスターのAzure portalでのロールの割り当て中に [メンバー] タブを示すスクリーンショット。](media/assign-vm-rbac-roles/add-role-assignment-3.png#lightbox)
![Azure Stack HCI クラスターのAzure portalでのロールの割り当て中に [確認と割り当て] タブを示すスクリーンショット。](media/assign-vm-rbac-roles/add-role-assignment-4.png#lightbox)
ロールの割り当ての詳細については、「Azure portalを使用して Azure ロールを割り当てる」を参照してください。
次の手順
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示