Azure Cosmos DB のロールベースのアクセス制御Role-based access control in Azure Cosmos DB

Azure Cosmos DB には、Azure Cosmos DB の一般的な管理シナリオに対応するロールベースのアクセス制御 (RBAC) が組み込まれています。Azure Cosmos DB provides built-in role-based access control (RBAC) for common management scenarios in Azure Cosmos DB. Azure Active Directory にプロファイルを持つ個人は、これらの RBAC ロールをユーザー、グループ、サービス プリンシパル、またはマネージド ID に割り当てて、Azure Cosmos DB リソース上のリソースと操作へのアクセスを許可または拒否できます。An individual who has a profile in Azure Active Directory can assign these RBAC roles to users, groups, service principals, or managed identities to grant or deny access to resources and operations on Azure Cosmos DB resources. ロールの割り当ては、Azure Cosmos アカウント、データベース、コンテナー、およびオファー (スループット) へのアクセスを含む、コントロールプレーン アクセスのみに限定されています。Role assignments are scoped to control-plane access only, which includes access to Azure Cosmos accounts, databases, containers, and offers (throughput).

組み込みのロールBuilt-in roles

Azure Cosmos DB でサポートされている組み込みのロールは次のとおりです。The following are the built-in roles supported by Azure Cosmos DB:

組み込みのロールBuilt-in role 説明Description
DocumentDB アカウント共同作成者DocumentDB Accounts Contributor Azure Cosmos DB アカウントを管理できます。Can manage Azure Cosmos DB accounts.
Cosmos DB アカウント閲覧者Cosmos DB Account Reader Cosmos DB アカウントのデータを読み取ることができます。Can read Azure Cosmos DB account data.
Cosmos バックアップ オペレーターCosmos Backup Operator Azure Cosmos データベースまたはコンテナーの復元要求を送信できます。Can submit restore request for an Azure Cosmos database or a container.
Cosmos DB オペレーターCosmos DB Operator Azure Cosmos アカウント、データベース、およびコンテナーをプロビジョニングできますが、データへのアクセスに必要なキーにはアクセスできません。Can provision Azure Cosmos accounts, databases, and containers but cannot access the keys that are required to access the data.

重要

Azure Cosmos DB の RBAC サポートは、コントロール プレーン操作にのみ適用されます。RBAC support in Azure Cosmos DB applies to control plane operations only. データ プレーン操作は、マスター キーまたはリソース トークンを使用してセキュリティで保護されています。Data plane operations are secured using master keys or resource tokens. 詳細については、「Azure Cosmos DB のデータへのアクセスをセキュリティで保護する」を参照してください。To learn more, see Secure access to data in Azure Cosmos DB

ID およびアクセス管理 (IAM)Identity and access management (IAM)

Azure portal の [アクセス制御 (IAM)] ウィンドウは、Azure Cosmos リソースに対してロールベースのアクセス制御を構成するために使用されます。The Access control (IAM) pane in the Azure portal is used to configure role-based access control on Azure Cosmos resources. ロールは、Active Directory 内のユーザー、グループ、サービス プリンシパル、およびマネージド ID に適用されます。The roles are applied to users, groups, service principals, and managed identities in Active Directory. 組み込みのロールまたはカスタム ロールは、個人とグループに使用できます。You can use built-in roles or custom roles for individuals and groups. 次のスクリーンショットは、Azure portal のアクセス制御 (IAM) を使用した Active Directory 統合 (RBAC) を示しています。The following screenshot shows Active Directory integration (RBAC) using access control (IAM) in the Azure portal:

Azure Portal でのアクセス制御 (IAM) - データベースのセキュリティ

カスタム ロールCustom roles

組み込みのロールに加えて、ユーザーは Azure でカスタム ロールを作成し、それらのロールを Active Directory テナント内のすべてのサブスクリプションにわたるサービス プリンシパルに適用することもできます。In addition to the built-in roles, users may also create custom roles in Azure and apply these roles to service principals across all subscriptions within their Active Directory tenant. カスタム ロールによって、ユーザーは、カスタムのリソース プロバイダー操作セットを使用して RBAC ロール定義を作成できるようになります。Custom roles provide users a way to create RBAC role definitions with a custom set of resource provider operations. Azure Cosmos DB のカスタム ロールを構築するために使用できる操作の詳細については、「Azure Cosmos DB のリソース プロバイダー操作」を参照してください。To learn which operations are available for building custom roles for Azure Cosmos DB see, Azure Cosmos DB resource provider operations

次の手順Next steps