Azure Portal でのロールベースの Access Control の基礎を確認するGet started with Role-Based Access Control in the Azure portal

セキュリティを重視する企業は、実際に必要となるアクセス許可を従業員に付与することに注力する必要があります。Security-oriented companies should focus on giving employees the exact permissions they need. アクセス許可が多すぎると、アカウントが攻撃者による悪用の対象になりかねません。Too many permissions can expose an account to attackers. アクセス許可が少なすぎると、従業員は業務を効率的に遂行できなくなる可能性があります。Too few permissions means that employees can't get their work done efficiently. Azure のロールベースのアクセス制御 (RBAC) は、Azure のアクセス許可を詳細に管理を実現することでこの問題に対処できます。Azure Role-Based Access Control (RBAC) helps address this problem by offering fine-grained access management for Azure.

RBAC を使用して、チーム内で職務を分離し、職務に必要なアクセス許可のみをユーザーに付与します。Using RBAC, you can segregate duties within your team and grant only the amount of access to users that they need to perform their jobs. すべてのユーザーに Azure サブスクリプションまたはリソースで無制限のアクセス許可を付与するのではなく、特定の操作のみを許可することができます。Instead of giving everybody unrestricted permissions in your Azure subscription or resources, you can allow only certain actions. たとえば、RBAC を使用して、ある従業員にはサブスクリプションで仮想マシンを管理できるようにし、他の従業員にも同じサブスクリプション内で SQL データベースを管理できるようにします。For example, use RBAC to let one employee manage virtual machines in a subscription, while another can manage SQL databases within the same subscription.

Azure でのアクセス管理の基礎Basics of access management in Azure

各 Azure サブスクリプションは、1 つの Azure Active Directory (AD) ディレクトリと関連付けられます。Each Azure subscription is associated with one Azure Active Directory (AD) directory. そのディレクトリに登録されたユーザー、グループ、およびアプリケーションのみが、Azure サブスクリプションでリソースを管理できます。Users, groups, and applications from that directory can manage resources in the Azure subscription. このためのアクセス権は、Azure ポータル、Azure コマンドライン ツール、および Azure 管理 API を使用して割り当てます。Assign these access rights using the Azure portal, Azure command-line tools, and Azure Management APIs.

アクセス権を付与するには、ユーザー、グループ、およびアプリケーションに適切な RBAC ロールを特定のスコープで割り当てます。Grant access by assigning the appropriate RBAC role to users, groups, and applications at a certain scope. ロール割り当てのスコープには、サブスクリプション、リソース グループ、または単独のリソースを指定できます。The scope of a role assignment can be a subscription, a resource group, or a single resource. 親スコープでロールが割り当てられると、その親に含まれる子へのアクセス権も付与されます。A role assigned at a parent scope also grants access to the children contained within it. たとえば、リソース グループへのアクセス権を持つユーザーは、Web サイト、仮想マシン、サブネットなど、リソース グループに含まれるすべてのリソースを管理できます。For example, a user with access to a resource group can manage all the resources it contains, like websites, virtual machines, and subnets.

Relationship between Azure Active Directory elements - diagram

割り当てる RBAC ロールにより、そのスコープ内でユーザー、グループ、またはアプリケーションが管理できるリソースが決まります。The RBAC role that you assign dictates what resources the user, group, or application can manage within that scope.

組み込みのロールBuilt-in roles

Azure RBAC には、すべてのリソースの種類に適用される 3 つの基本的なロールがあります。Azure RBAC has three basic roles that apply to all resource types:

  • 所有者 は、他のユーザーへアクセス権を委任する権限を含め、すべてのリソースへのフル アクセス権を持ちます。Owner has full access to all resources including the right to delegate access to others.
  • 共同作成者 は、Azure リソースのすべてのタイプを作成および管理できますが、他のユーザーへアクセス権を付与することはできません。Contributor can create and manage all types of Azure resources but can’t grant access to others.
  • 閲覧者 は、既存の Azure リソースを表示できます。Reader can view existing Azure resources.

残りの Azure RBAC ロールでは、特定の Azure リソースの管理が許可されます。The rest of the RBAC roles in Azure allow management of specific Azure resources. たとえば、仮想マシンの共同作成者ロールが割り当てられたユーザーには、仮想マシンの作成と管理が許可されます。For example, the Virtual Machine Contributor role allows the user to create and manage virtual machines. その一方で、仮想マシンが接続する仮想ネットワークまたはサブネットへのアクセス権は付与されません。It does not give them access to the virtual network or the subnet that the virtual machine connects to.

RBAC: 組み込みのロール 」に、Azure で使用できる RBAC ロールが記載されています。RBAC built-in roles lists the roles available in Azure. 各組み込みロールによってユーザーに付与される操作とスコープが説明されています。It specifies the operations and scope that each built-in role grants to users. 制御を強化するために独自のロールを定義する場合は、 Azure RBAC でカスタム ロールを作成する方法を参照してください。If you're looking to define your own roles for even more control, see how to build Custom roles in Azure RBAC.

リソース階層とアクセス権の継承Resource hierarchy and access inheritance

  • Azure 内の各 サブスクリプション は、1 つのディレクトリのみに属しています。Each subscription in Azure belongs to only one directory. (ただし、1 つのディレクトリに複数のサブスクリプションが含まれることはあります。)(But each directory can have more than one subscription.)
  • リソース グループ は、1 つのサブスクリプションのみに属しています。Each resource group belongs to only one subscription.
  • リソース は、1 つのリソース グループのみに属しています。Each resource belongs to only one resource group.

親スコープで付与されたアクセス権は、子スコープに継承されます。Access that you grant at parent scopes is inherited at child scopes. たとえば:For example:

  • 閲覧者ロールをサブスクリプション スコープで Azure AD グループに割り当てると、You assign the Reader role to an Azure AD group at the subscription scope. そのグループのメンバーは、サブスクリプション内のすべてのリソース グループとすべてのリソースを表示できるようになります。The members of that group can view every resource group and resource in the subscription.
  • 共同作成者ロールをリソース グループ スコープでアプリケーションに割り当てると、You assign the Contributor role to an application at the resource group scope. そのアプリケーションでは、そのリソース グループ内のすべてのタイプのリソースを管理できるようになりますが、サブスクリプション内の他のリソース グループは管理できません。It can manage resources of all types in that resource group, but not other resource groups in the subscription.

Azure RBAC と従来のサブスクリプションの管理者の比較Azure RBAC vs. classic subscription administrators

従来のサブスクリプションの管理者と共同管理者には、Azure サブスクリプションへのフル アクセス権があります。Classic subscription administrators and co-admins have full access to the Azure subscription. リソースの管理には、Azure Portalと Azure Resource Manager API の組み合わせ、または Azure クラシック ポータルと Azure クラシック デプロイメント モデルの組み合わせを使用できます。They can manage resources using the Azure portal with Azure Resource Manager APIs, or the Azure classic portal and Azure classic deployment model. RBAC モデルで、従来の管理者は、サブスクリプション スコープで所有者ロールを割り当てられます。In the RBAC model, classic administrators are assigned the Owner role at the subscription scope.

Azure RBAC は Azure ポータルと新しい Azure Resource Manager API の組み合わせのみでサポートされています。Only the Azure portal and the new Azure Resource Manager APIs support Azure RBAC. RBAC ロールを割り当てられているユーザーとアプリケーションは、クラシック管理ポータルと Azure クラシック デプロイメント モデルを使用できません。Users and applications that are assigned RBAC roles cannot use the classic management portal and the Azure classic deployment model.

管理操作とデータ操作の許可Authorization for management vs. data operations

Azure RBAC は、Azure ポータルと Azure Resource Manager API での Azure リソースの管理操作のみに対応しています。Azure RBAC only supports management operations of the Azure resources in the Azure portal and Azure Resource Manager APIs. Azure リソースのデータ レベルの操作の中には、許可されていないものもあります。It cannot authorize all data level operations for Azure resources. たとえば、同じユーザーにストレージ アカウントを管理することを承認できますが、ストレージ アカウントでの BLOB またはテーブルの操作を許可することはできません。For example, you can authorize someone to manage Storage Accounts, but not to the blobs or tables within a Storage Account. 同様に、SQL データベースは管理できますが、その中のテーブルは管理できません。Similarly, a SQL database can be managed, but not the tables within it.

次のステップNext Steps