RBAC と Azure portal を使用して Azure リソースへのアクセスを管理するManage access to Azure resources using RBAC and the Azure portal

ロールベースのアクセス制御 (RBAC) は、Azure のリソースに対するアクセスを管理するための手法です。Role-based access control (RBAC) is the way that you manage access to Azure resources. この記事では、Azure portal を使用してアクセスを管理する方法について説明します。This article describes how you manage access using the Azure portal. Azure Active Directory へのアクセスを管理する必要がある場合は、「Azure Active Directory で管理者ロールを表示して割り当てる」を参照してください。If you need to manage access to Azure Active Directory, see View and assign administrator roles in Azure Active Directory.

前提条件Prerequisites

ロールの割り当てを追加および削除するには、以下が必要です。To add and remove role assignments, you must have:

アクセス制御 (IAM) の概要Overview of Access control (IAM)

アクセス制御 (IAM) は、Azure リソースに対するアクセスを管理するために使用するブレードです。Access control (IAM) is the blade that you use to manage access to Azure resources. ID とアクセス管理とも呼ばれ、Azure portal のいくつかの場所に示されます。It's also known as identity and access management and appears in several locations in the Azure portal. サブスクリプションの [アクセス制御 (IAM)] ブレードの例を次に示します。The following shows an example of the Access control (IAM) blade for a subscription.

サブスクリプションの [アクセス制御 (IAM)] ブレード

使用される要素をいくつか次の表に示します。The following table describes what some of the elements are use for:

# 要素Element 用途What you use it for
11 アクセス制御 (IAM) が開かれるリソースResource where Access control (IAM) is opened スコープを特定する (この例ではサブスクリプション)Identify scope (subscription in this example)
22 [追加] ボタンAdd button ロールの割り当てを追加するAdd role assignments
33 [アクセスの確認] タブCheck access tab 単一ユーザーのロールの割り当てを表示するView the role assignments for a single user
44 [ロールの割り当て] タブRole assignments tab 現在のスコープのロールの割り当てを一覧表示するView the role assignments at the current scope
55 [ロール] タブRoles tab すべてのロールとアクセス許可を表示するView all roles and permissions

アクセス制御 (IAM) ブレードで最も効果的なものにするために、アクセス管理を試行する際に以下の 3 つの質問に回答できる場合に役立ちます。To be the most effective with the Access control (IAM) blade, it helps if you can answer the following three questions when you are trying to manage access:

  1. 誰がアクセスを必要としていますか?Who needs access?

    誰とは、ユーザー、グループ、サービス プリンシパル、またはマネージド ID を指します。Who refers to a user, group, service principal, or managed identity. セキュリティ プリンシパル とも呼ばれます。This is also called a security principal.

  2. どのようなアクセス許可が必要ですか?What permissions do they need?

    アクセス許可はロールでまとめてグループ化されます。Permissions are grouped together into roles. いくつかの組み込みロールの一覧から選択できます。You can select from a list of several built-in roles.

  3. どこでアクセスが必要ですか?Where do they need access?

    どことは、アクセスが適用されるリソースのセットを指します。Where refers to the set of resources that the access applies to. 管理グループ、サブスクリプション、リソース グループ、またはストレージ アカウントなどの単一のリソースである場合があります。Where can be a management group, subscription, resource group, or a single resource such as a storage account. これはスコープ と呼ばれます。This is called the scope.

[アクセス制御 (IAM)] を開くOpen Access control (IAM)

最初に決定する必要があるのは、アクセス制御 (IAM) ブレードを開く場所です。The first thing you need to decide is where to open the Access control (IAM) blade. これは、アクセスを管理するリソースによって異なります。It depends on what resources you want to manage access for. 管理グループ内のすべて、サブスクリプション内のすべて、リソース グループ内のすべて、あるいは単一リソースに対するアクセスを管理しますか?Do you want to manage access for everything in a management group, everything in a subscription, everything in a resource group, or a single resource?

  1. Azure portal で、 [すべてのサービス] をクリックしてからスコープを選びます。In the Azure portal, click All services and then select the scope. たとえば、 [管理グループ][サブスクリプション][リソース グループ] 、またはリソースを選択できます。For example, you can select Management groups, Subscriptions, Resource groups, or a resource.

  2. 特定のリソースをクリックします。Click the specific resource.

  3. [アクセス制御 (IAM)] をクリックします。Click Access control (IAM).

    サブスクリプションの [アクセス制御 (IAM)] ブレードの例を次に示します。The following shows an example of the Access control (IAM) blade for a subscription. ここでアクセスの制御を変更すると、その変更内容はサブスクリプション全体に適用されます。If you make any access control changes here, they would apply to the entire subscription.

    サブスクリプションの [アクセス制御 (IAM)] ブレード

ロールとアクセス許可を表示するView roles and permissions

ロール定義とは、ロールの割り当てに使用するアクセス許可のコレクションを指します。A role definition is a collection of permissions that you use for role assignments. Azure には、Azure リソースに対して 70 個を超える組み込みロールがあります。Azure has over 70 built-in roles for Azure resources. 以下の手順に従って、使用可能なロールとアクセス許可を表示します。Follow these steps to view the available roles and permissions.

  1. 任意のスコープで [アクセス制御 (IAM)] を開きます。Open Access control (IAM) at any scope.

  2. [ロール] タブをクリックして、すべての組み込みおよびカスタム ロールの一覧を表示します。Click the Roles tab to see a list of all the built-in and custom roles.

    現在のスコープの各ロールに割り当てられているユーザーとグループの数を確認できます。You can see the number of users and groups that are assigned to each role at the current scope.

    ロールの一覧表示

  3. 個々のロールをクリックすると、このロールが割り当てられているユーザーのほか、そのロールのアクセス許可も表示されます。Click an individual role to see who has been assigned this role and also view the permissions for the role.

    ロールの割り当て

ロールの割り当てを表示するView role assignments

アクセス権を管理するときは、どのユーザーがアクセス権を持っており、どのようなアクセス許可が認められていて、そのアクセス許可がどのスコープのものであるかを把握する必要があります。When managing access, you want to know who has access, what are their permissions, and at what scope. ユーザー、グループ、サービス プリンシパル、またはマネージド ID のアクセス権を一覧表示するには、ロールの割り当てを表示します。To list access for a user, group, service principal, or managed identity, you view their role assignments.

1 人のユーザーのロールの割り当てを表示するView role assignments for a single user

特定のスコープでの 1 人のユーザー、グループ、サービス プリンシパル、またはマネージド ID のアクセス権を表示するには、次の手順に従います。Follow these steps to view the access for a single user, group, service principal, or managed identity at a particular scope.

  1. アクセス権を表示する管理グループ、サブスクリプション、リソース グループ、リソースなどのスコープで [アクセス制御 (IAM)] を開きます。Open Access control (IAM) at a scope, such as management group, subscription, resource group, or resource, where you want to view access.

  2. [Check access] (アクセスの確認) タブをクリックします。Click the Check access tab.

    アクセス制御 - [アクセスの確認] タブ

  3. [検索] 一覧で、アクセス権を確認するセキュリティ プリンシパルの種類を選択します。In the Find list, select the type of security principal you want to check access for.

  4. 検索ボックスに、表示名、メール アドレス、またはオブジェクト識別子のディレクトリを検索するための文字列を入力します。In the search box, enter a string to search the directory for display names, email addresses, or object identifiers.

    [アクセスの確認] の選択リスト

  5. セキュリティ プリンシパルをクリックして [割り当て] ウィンドウを開きます。Click the security principal to open the assignments pane.

    [割り当て] ウィンドウ

    このウィンドウでは、選択したセキュリティ プリンシパルに割り当てられているロールとスコープを確認できます。On this pane, you can see the roles assigned to the selected security principal and the scope. このスコープに拒否割り当てが存在するか、またはこのスコープに継承されている場合は、それらが一覧表示されます。If there are any deny assignments at this scope or inherited to this scope, they will be listed.

あるスコープのすべてのロールの割り当てを表示するView all role assignments at a scope

  1. アクセス権を表示する管理グループ、サブスクリプション、リソース グループ、リソースなどのスコープで [アクセス制御 (IAM)] を開きます。Open Access control (IAM) at a scope, such as management group, subscription, resource group, or resource, where you want to view access.

  2. [ロールの割り当て] タブをクリックして、このスコープのすべてのロールの割り当てを表示します。Click the Role assignments tab to view all the role assignments at this scope.

    アクセス制御 - [ロールの割り当て] タブ

    [ロールの割り当て] タブでは、このスコープにアクセス権があるユーザーを確認できます。On the Role assignments tab, you can see who has access at this scope. スコープが [このリソース] のロールもあれば、別のスコープからスコープを [(継承)] しているロールもあることに注目してください。Notice that some roles are scoped to This resource while others are (Inherited) from another scope. アクセス権は、このリソースに明確に割り当てられるか、または親スコープへの割り当てから継承されます。Access is either assigned specifically to this resource or inherited from an assignment to the parent scope.

ロールの割り当てを追加するAdd a role assignment

RBAC でアクセス権を付与するには、ユーザー、グループ、サービス プリンシパル、またはマネージド ID にロールを割り当てます。In RBAC, to grant access, you assign a role to a user, group, service principal, or managed identity. さまざまなスコープでアクセス権を付与するには、次の手順に従います。Follow these steps to grant access at different scopes.

あるスコープのロールを割り当てるAssign a role at a scope

  1. アクセス権を付与する管理グループ、サブスクリプション、リソース グループ、リソースなどのスコープで [アクセス制御 (IAM)] を開きます。Open Access control (IAM) at a scope, such as management group, subscription, resource group, or resource, where you want to grant access.

  2. [ロールの割り当て] タブをクリックして、このスコープのすべてのロールの割り当てを表示します。Click the Role assignments tab to view all the role assignments at this scope.

  3. [追加] > [ロールの割り当ての追加] をクリックして、[ロールの割り当ての追加] ウィンドウを開きます。Click Add > Add role assignment to open the Add role assignment pane.

    ロールを割り当てるためのアクセス許可がない場合は、[ロールの割り当ての追加] オプションは無効になります。If you don't have permissions to assign roles, the Add role assignment option will be disabled.

    [追加] メニュー

    [ロールの割り当ての追加] ウィンドウ

  4. [ロール] ボックスの一覧で、 [仮想マシン共同作成者] などのロールを選択します。In the Role drop-down list, select a role such as Virtual Machine Contributor.

  5. [選択] 一覧で、ユーザー、グループ、サービス プリンシパル、またはマネージド ID を選択します。In the Select list, select a user, group, service principal, or managed identity. 一覧にセキュリティ プリンシパルが表示されない場合には、 [選択] ボックスに表示名、メール アドレス、オブジェクト識別子を入力してディレクトリを検索します。If you don't see the security principal in the list, you can type in the Select box to search the directory for display names, email addresses, and object identifiers.

  6. [保存] をクリックしてロールを割り当てます。Click Save to assign the role.

    しばらくすると、セキュリティ プリンシパルに選択されたスコープのロールが割り当てられます。After a few moments, the security principal is assigned the role at the selected scope.

サブスクリプションの管理者としてユーザーを割り当てるAssign a user as an administrator of a subscription

ユーザーを Azure サブスクリプションの管理者にするには、サブスクリプション スコープで、そのユーザーに所有者ロールを割り当てます。To make a user an administrator of an Azure subscription, assign them the Owner role at the subscription scope. これにより、他のユーザーへアクセス権を委任する権限を含め、サブスクリプションにあるすべてのリソースへのフル アクセスがユーザーに付与されます。The Owner role gives the user full access to all resources in the subscription, including the right to delegate access to others. 次の手順は、他のロールの割り当てと同じです。These steps are the same as any other role assignment.

  1. Azure portal で、 [すべてのサービス][サブスクリプション] の順にクリックします。In the Azure portal, click All services and then Subscriptions.

  2. アクセス権を付与するサブスクリプションをクリックします。Click the subscription where you want to grant access.

  3. [アクセス制御 (IAM)] をクリックします。Click Access control (IAM).

  4. [ロールの割り当て] タブをクリックして、このサブスクリプションのすべてのロールの割り当てを表示します。Click the Role assignments tab to view all the role assignments for this subscription.

  5. [追加] > [ロールの割り当ての追加] をクリックして、[ロールの割り当ての追加] ウィンドウを開きます。Click Add > Add role assignment to open the Add role assignment pane.

    ロールを割り当てるためのアクセス許可がない場合は、[ロールの割り当ての追加] オプションは無効になります。If you don't have permissions to assign roles, the Add role assignment option will be disabled.

    [追加] メニュー

    [ロールの割り当ての追加] ウィンドウ

  6. [ロール] ドロップダウン リストで、 [所有者] ロールを選択します。In the Role drop-down list, select the Owner role.

  7. [選択] 一覧で、ユーザーを選択します。In the Select list, select a user. 一覧にユーザーが表示されない場合には、 [選択] ボックスに表示名とメール アドレスを入力して、ディレクトリを検索します。If you don't see the user in the list, you can type in the Select box to search the directory for display names and email addresses.

  8. [保存] をクリックしてロールを割り当てます。Click Save to assign the role.

    しばらくすると、サブスクリプション スコープで、ユーザーに所有者のロールが割り当てられます。After a few moments, the user is assigned the Owner role at the subscription scope.

ロールの割り当てを削除するRemove role assignments

RBAC では、アクセス権を削除するにはロールの割り当てを削除する必要があります。In RBAC, to remove access, you remove a role assignment. アクセス権を削除するには、次の手順に従います。Follow these steps to remove access.

  1. アクセス権を削除する管理グループ、サブスクリプション、リソース グループ、リソースなどのスコープで [アクセス制御 (IAM)] を開きます。Open Access control (IAM) at a scope, such as management group, subscription, resource group, or resource, where you want to remove access.

  2. [ロールの割り当て] タブをクリックして、このサブスクリプションのすべてのロールの割り当てを表示します。Click the Role assignments tab to view all the role assignments for this subscription.

  3. ロールの割り当ての一覧で、ロールの割り当てを削除するセキュリティ プリンシパルの隣にチェックマークを追加します。In the list of role assignments, add a checkmark next to the security principal with the role assignment you want to remove.

    ロールの割り当ての削除メッセージ

  4. [削除] をクリックします。Click Remove.

    ロールの割り当ての削除メッセージ

  5. 表示されるロールの割り当ての削除メッセージで、 [はい] をクリックします。In the remove role assignment message that appears, click Yes.

    継承されたロールの割り当ては削除できません。Inherited role assignments cannot be removed. そのようなロールの割り当てを削除する場合には、ロールの割り当てが作成されたスコープで削除する必要があります。If you need to remove an inherited role assignment, you must do it at the scope where the role assignment was created. [スコープ] 列の [(継承済み)] の横に、このロールが割り当てられているスコープへのリンクが表示されています。In the Scope column, next to (Inherited) there is a link that takes you to the scope where this role was assigned. その一覧に表示されているスコープにアクセスして、ロールの割り当てを削除してください。Go to the scope listed there to remove the role assignment.

    ロールの割り当ての削除メッセージ

次の手順Next steps