ロールベースのアクセス制御を使用して Azure サブスクリプション リソースへのアクセスを管理するUse Role-Based Access Control to manage access to your Azure subscription resources

Azure のロールベースのアクセス制御 (RBAC) では、Azure のアクセス権の詳細な管理を実現します。Azure Role-Based Access Control (RBAC) enables fine-grained access management for Azure. RBAC を使用すると、職務に必要な範囲のアクセス権だけをユーザーに付与することができます。Using RBAC, you can grant only the amount of access that users need to perform their jobs. この記事では、Azure ポータルにおける RBAC の基本的な使い方について説明しています。This article helps you get up and running with RBAC in the Azure portal. RBAC を使用した高度なアクセス管理については、「 What is Role-Based Access Control (ロールベースのアクセス制御とは)」を参照してください。If you want more details about how RBAC helps you manage access, see What is Role-Based Access Control.

各サブスクリプション内では、最大 2,000 のロールの割り当てを許可できます。Within each subscription, you can grant up to 2000 role assignments.

アクセス許可の表示View access

Azure ポータルのメイン ブレードで、リソース、リソース グループ、またはサブスクリプションへのアクセス権が付与されているユーザーを確認できます。You can see who has access to a resource, resource group, or subscription from its main blade in the Azure portal. たとえば、リソース グループのいずれかへのアクセス権があるユーザーを確認する場合は、次の手順を実行します。For example, we want to see who has access to one of our resource groups:

  1. 左側にあるナビゲーション バーで、 [リソース グループ] アイコンをクリックします。Select Resource groups in the navigation bar on the left.
    リソース グループ - アイコンResource groups - icon
  2. [リソース グループ] ブレードからリソース グループの名前を選択します。Select the name of the resource group from the Resource groups blade.
  3. 左側のメニューから [アクセス制御 (IAM)] を選択します。Select Access control (IAM) from the left menu.
  4. アクセス制御ブレードに、リソース グループへのアクセス権が付与されたすべてのユーザー、グループ、およびアプリケーションが一覧表示されます。The Access control blade lists all users, groups, and applications that have been granted access to the resource group.

    Users blade - inherited vs assigned access screenshot

ロールには、スコープが [このリソース] に設定されているものもあれば、別のスコープから [継承] に設定されているものもあることに注目してください。Notice that some roles are scoped to This resource while others are Inherited it from another scope. アクセス権は、リソース グループに明示的に割り当てられる場合と、親サブスクリプションへの割り当てから継承される場合があります。Access is either assigned specifically to the resource group or inherited from an assignment to the parent subscription.

注意

従来のサブスクリプションの管理者と共同管理者は、新しい RBAC モデルではサブスクリプションの所有者と見なされます。

アクセス権の追加Add Access

アクセス権は、リソース内、リソース グループ内、またはサブスクリプション内から付与します。これは、ロール割り当てのスコープになります。You grant access from within the resource, resource group, or subscription that is the scope of the role assignment.

  1. アクセス制御ブレードで [追加] を選択します。Select Add on the Access control blade.
  2. [役割を選択] ブレードから割り当てる役割を選択します。Select the role that you wish to assign from the Select a role blade.
  3. ディレクトリで、アクセス権を付与するユーザー、グループ、またはアプリケーションを選択します。Select the user, group, or application in your directory that you wish to grant access to. ディレクトリは、表示名、電子メール アドレス、およびオブジェクト識別子を使用して検索できます。You can search the directory with display names, email addresses, and object identifiers.

    Add users blade - search screenshot

  4. [OK] を選択して割り当てを作成します。Select OK to create the assignment. [ユーザーを追加中] ポップアップに進行状況が表示されます。The Adding user popup tracks the progress.
    [ユーザーを追加中] 進捗状況バー - スクリーンショットAdding user progress bar - screenshot

ロールの割り当てが正常に追加されると、 [ユーザー] ブレードに表示されます。After successfully adding a role assignment, it will appear on the Users blade.

アクセス権の削除Remove Access

  1. 削除したい割り当ての名前にカーソルを合わせます。Hover your cursor over the name of the assignment that you want to remove. 名前の横にチェック ボックスが表示されます。A check box appears next to the name.
  2. チェック ボックスを使用して、ロールの割り当てを 1 つまたは複数選択します。Use the check boxes to select one or more role assignments.
  3. [削除] を選択します。Select Remove.
  4. [はい] を選択して削除を確定します。Select Yes to confirm the removal.

継承された割り当ては削除できません。Inherited assignments cannot be removed. 継承された割り当てを削除する必要がある場合は、ロールの割り当てが作成されたスコープで削除する必要があります。If you need to remove an inherited assignment, you need to do it at the scope where the role assignment was created. [スコープ] 列の [継承済み] の横に、このロールが割り当てられているリソースへのリンクが表示されています。In the Scope column, next to Inherited there is a link that takes you to the resources where this role was assigned. そこにリストされているリソースにアクセスして、ロールの割り当てを削除してください。Go to the resource listed there to remove the role assignment.

Users blade - inherited access disables remove button screenshot

その他のアクセス管理ツールOther tools to manage access

Azure ポータル以外のツールでも Azure RBAC コマンドを使用したアクセス管理とロールの割り当てを実行できます。You can assign roles and manage access with Azure RBAC commands in tools other than the Azure portal. 次のリンクをクリックして、前提条件の詳細と、Azure RBAC コマンドの使用方法について確認できます。Follow the links to learn more about the prerequisites and get started with the Azure RBAC commands.

次の手順Next Steps