Azure portal で Azure ロール割り当ての条件を追加または編集する (プレビュー)

重要

Azure ABAC と Azure ロール割り当ての条件は、現在プレビューの段階です。 このプレビュー バージョンはサービス レベル アグリーメントなしで提供されています。運用環境のワークロードに使用することはお勧めできません。 特定の機能はサポート対象ではなく、機能が制限されることがあります。 詳しくは、Microsoft Azure プレビューの追加使用条件に関するページをご覧ください。

Azure ロールの割り当て条件は、必要に応じてロールの割り当てに追加して、よりきめ細かなアクセス制御を提供できるようにする追加のチェックです。 たとえば、特定のタグがあるオブジェクトしか読み込めない、という条件を設定できます。 この記事では、Azure portal でロール割り当ての条件を追加、編集、閲覧、削除する方法を説明します。

[前提条件]

ロール割り当ての条件を追加、編集するための要件は、条件の要件に関する記事をご覧ください。

ステップ 1: 必要な条件を判断する

必要な条件を判断するには、Azure ロール割り当ての条件の例に関する記事をご確認ください。

現在条件を追加できるのは、ストレージ BLOB データ アクションがある、組み込みまたはカスタムのロール割り当てです。 これらには、次の組み込みロールが含まれます。

ステップ 2: 条件の追加方法を選ぶ

条件を追加する方法は 2 つあります。 新たにロールを割り当てるときに条件を追加する方法と、割り当て済みのロールに条件を追加する方法があります。

New role assignment

  1. Azure portal を使用して Azure ロールを割り当てる」の手順を実行します。

  2. [条件] タブで [条件の追加] をクリックします。

    [条件] タブが表示されない場合は、選択したのが、条件の使用をサポートしているロールであることを確認します。

    ロール割り当て追加ページのスクリーンショット。プレビュー機能である [条件の追加] タブが表示されています。

    ロール割り当ての条件追加ページが表示されます。

既存のロール割り当て

  1. Azure portal で、条件を追加したいスコープで [アクセス制御 (IAM)] を開きます。 たとえば、サブスクリプション、リソース グループまたはリソースを開きます。

    現在 Azure portal では、管理グループのスコープで条件を追加、閲覧、編集、削除することはできません。

  2. [ロールの割り当て] タブをクリックして、このスコープのすべてのロールの割り当てを表示します。

  3. 条件を追加したいストレージ データ アクションがあるロール割り当てを見つけます。

  4. [条件] 列で [追加] をクリックします。

    [追加] リンクが表示されない場合は、ロール割り当てと同じスコープを見ていることを確認してください。

    [条件] 列のあるロール割り当てリスト。

    ロール割り当ての条件追加ページが表示されます。

ステップ 3: 基本項目を確認する

ロール割り当ての条件追加ページでは、条件の基本項目を確認できます。 [ロール] は条件を追加するロールを表します。

  1. [エディターの種類] オプションでは、既定の [ビジュアル] を選択したままにします。

    条件を追加すると、[ビジュアル] と [コード] を切り替えられるようになります。

  2. (オプション) [説明] ボックスが表示される場合は、説明を入力します。

    条件の追加方法により、[説明] ボックスが表示されない場合もあります。 説明は、条件を理解し思い出すのに役立ちます。

    ロール割り当ての条件追加ページ。エディターの種類と説明が表示されています。

ステップ 4: アクションを追加する

  1. [アクションの追加] セクションで [アクションの追加] をクリックします。

    [アクションの選択] ペインが表示されます。 条件を設定するロール割り当てに合わせて絞り込まれたデータ アクションのリストが、このペインに表示されます。 詳しくは、Azure ロール割り当ての条件の形式と構文に関する記事をご覧ください。

    条件の [アクションの選択] ペイン。アクションが選択されています。

  2. 条件を満たす場合に許可するアクションを選択します。

    1 つの条件に対して複数のアクションを選択した場合、その条件で選択できる属性の数が少なくなる場合があります。これは、選択したすべてのアクションに対応する属性だけが表示されるためです。

  3. [選択] をクリックします。

    選択したアクションがアクションのリストに表示されます。

手順 5: 式を作成する

  1. [式の作成] セクションで [式の追加] をクリックします。

    [式] セクションが展開されます。

  2. [Attribute source](属性ソース) リストで、何に対する属性を式に使用するかを選択します。

    • [リソース] を選択すると、コンテナー名などのリソースに対する属性を使用します。
    • [要求] を選択すると、BLOB のインデックス タグの設定などの、アクション要求に対する属性を使用します。
  3. [属性] リストで、式の左側に使用する属性を選択します。 詳しくは、Azure ロール割り当ての条件の形式と構文に関する記事をご覧ください。

    選択する属性によっては、属性の詳細を指定する追加のボックスが表示されます。

  4. [演算子] リストでは、演算子を選択します。

  5. [値] ボックスでは、式の右側に使用する値を入力します。

    [式の作成] セクション。BLOB インデックス タグの値が表示されています。

ステップ 6: 条件を確認、追加する

  1. [エディターの種類] まで上方にスクロールし、 [コード] をクリックします。

    条件がコードとして表示されます。 このコード エディターでは、条件を変更できます。 ビジュアル エディターに戻るには、 [ビジュアル] をクリックします。

    アクションを選択し式を追加した状態で、コード エディターに表示されている条件。

  2. [保存] をクリックしてロール割り当てに条件を追加します。

条件を閲覧、編集または削除する

  1. Azure portal で、閲覧、編集または削除したい条件のあるロール割り当ての [アクセス制御 (IAM)] を開きます。

  2. [ロールの割り当て] タブをクリックして目的のロール割り当てを見つけます。

  3. [条件] 列で、 [表示または編集] をクリックします。

    [表示または編集] リンクが表示されない場合は、ロール割り当てと同じスコープを見ていることを確認してください。

    条件の [表示または編集] リンクを含むロール割り当てのリスト。

    ロール割り当ての条件追加ページが表示されます。

  4. エディターで条件を閲覧または編集します。

    [表示または編集] リンクをクリックしてエディターに表示された条件。

  5. 完了したら、 [保存] をクリックします。 条件全体を削除するには、 [条件の削除] をクリックします。 条件を削除してもロール割り当ては削除されません。

次のステップ