Azure portal を使用して Azure ロールの割り当てを追加または削除するAdd or remove Azure role assignments using the Azure portal

Azure ロールベースのアクセス制御 (RBAC) は、Azure のリソースに対するアクセスを管理するために使用する承認システムです。Azure role-based access control (RBAC) is the authorization system you use to manage access to Azure resources. アクセス権を付与するには、特定のスコープでユーザー、グループ、サービス プリンシパル、またはマネージド ID にロールを割り当てます。To grant access, you assign roles to users, groups, service principals, or managed identities at a particular scope. この記事では、Azure portal を使用してロールを割り当てる方法について説明します。Azure ロールベースのアクセス制御 (RBAC) は、Azure のリソースに対するアクセスを管理するために使用する承認システムです。Azure role-based access control (RBAC) is the authorization system you use to manage access to Azure resources. アクセス権を付与するには、特定のスコープでユーザー、グループ、サービス プリンシパル、またはマネージド ID にロールを割り当てます。To grant access, you assign roles to users, groups, service principals, or managed identities at a particular scope. This article describes how to assign roles using the Azure portal.

Azure Active Directory で管理者ロールを割り当てる必要がある場合は、「Azure Active Directory で管理者ロールを表示して割り当てる」を参照してください。If you need to assign administrator roles in Azure Active Directory, see View and assign administrator roles in Azure Active Directory.

前提条件Prerequisites

ロールの割り当てを追加または削除するには、以下が必要です。To add or remove role assignments, you must have:

アクセス制御 (IAM)Access control (IAM)

アクセス制御 (IAM) は、ロールを割り当てることで、Azure リソースへのアクセス権を付与するために使用するブレードです。Access control (IAM) is the blade that you use to assign roles to grant access to Azure resources. ID とアクセス管理とも呼ばれ、Azure portal のいくつかの場所に示されます。It's also known as identity and access management and appears in several locations in the Azure portal. サブスクリプションの [アクセス制御 (IAM)] ブレードの例を次に示します。The following shows an example of the Access control (IAM) blade for a subscription.

サブスクリプションの [アクセス制御 (IAM)] ブレード

[アクセス制御 (IAM)] ブレードを最も効果的に使用するには、ロールを割り当てる際に、次の 3 つの質問に回答できると役立ちます。To be the most effective with the Access control (IAM) blade, it helps if you can answer the following three questions when you are trying to assign a role:

  1. 誰がアクセスを必要としていますか?Who needs access?

    誰が、にあてはまるのはユーザー、グループ、サービス プリンシパル、またはマネージド ID になります。Who refers to a user, group, service principal, or managed identity. これは セキュリティ プリンシパル とも呼ばれます。This is also called a security principal.

  2. それらには、どのようなロールが必要ですか?What role do they need?

    アクセス許可はロールでまとめてグループ化されます。Permissions are grouped together into roles. 複数の組み込みロールの一覧から選択することも、独自のカスタム ロールを使用することもできます。You can select from a list of several built-in roles or you can use your own custom roles.

  3. どこでアクセスが必要ですか?Where do they need access?

    どこで、にあてはまるのはアクセスが適用されるリソースのセットになります。Where refers to the set of resources that the access applies to. 管理グループ、サブスクリプション、リソース グループ、またはストレージ アカウントなどの単一のリソースである場合があります。Where can be a management group, subscription, resource group, or a single resource such as a storage account. これはスコープ と呼ばれます。This is called the scope.

ロールの割り当てを追加するAdd a role assignment

Azure RBAC では、Azure リソースへのアクセス権を付与するために、ロールの割り当てを追加します。In Azure RBAC, to grant access to an Azure resource, you add a role assignment. ロールを割り当てるには、次の手順に従います。Follow these steps to assign a role.

  1. Azure portal で、 [すべてのサービス] をクリックし、アクセス権を付与するスコープを選択します。In the Azure portal, click All services and then select the scope that you want to grant access to. たとえば、 [管理グループ][サブスクリプション][リソース グループ] 、またはリソースを選択できます。For example, you can select Management groups, Subscriptions, Resource groups, or a resource.

  2. そのスコープの特定のリソースをクリックします。Click the specific resource for that scope.

  3. [アクセス制御 (IAM)] をクリックします。Click Access control (IAM).

  4. [ロールの割り当て] タブをクリックして、このスコープのロールの割り当てを表示します。Click the Role assignments tab to view the role assignments at this scope.

    [アクセス制御 (IAM)] および [ロールの割り当て] タブ

  5. [追加] > [ロールの割り当ての追加] をクリックします。Click Add > Add role assignment.

    ロールを割り当てるためのアクセス許可がない場合は、[ロールの割り当ての追加] オプションは無効になります。If you don't have permissions to assign roles, the Add role assignment option will be disabled.

    [追加] メニュー

    [ロールの割り当ての追加] ウィンドウが開きます。The Add role assignment pane opens.

    [ロールの割り当ての追加] ウィンドウ

  6. [ロール]  ボックスの一覧で、 [仮想マシン共同作成者]  などのロールを選択します。In the Role drop-down list, select a role such as Virtual Machine Contributor.

  7. [選択] 一覧で、ユーザー、グループ、サービス プリンシパル、またはマネージド ID を選択します。In the Select list, select a user, group, service principal, or managed identity. [選択] 一覧で、ユーザー、グループ、サービス プリンシパル、またはマネージド ID を選択します。 一覧にセキュリティ プリンシパルが表示されない場合には、 [選択]  ボックスに表示名、メール アドレス、オブジェクト識別子を入力してディレクトリを検索します。If you don't see the security principal in the list, you can type in the Select box to search the directory for display names, email addresses, and object identifiers.

  8. [保存] をクリックしてロールを割り当てます。Click Save to assign the role.

    しばらくすると、セキュリティ プリンシパルに選択されたスコープのロールが割り当てられます。After a few moments, the security principal is assigned the role at the selected scope.

    保存されたロールの割り当ての追加

サブスクリプションの管理者としてユーザーを割り当てるAssign a user as an administrator of a subscription

ユーザーを Azure サブスクリプションの管理者にするには、サブスクリプションのスコープで、そのユーザーに所有者ロールを割り当てます。To make a user an administrator of an Azure subscription, assign them the Owner role at the subscription scope. 所有者ロールにより、他のユーザーにアクセス権を付与する権限を含め、サブスクリプションにあるすべてのリソースへのフル アクセス権がユーザーに付与されます。The Owner role gives the user full access to all resources in the subscription, including the permission to grant access to others. 次の手順は、他のロールの割り当てと同じです。These steps are the same as any other role assignment.

  1. Azure portal で、 [すべてのサービス][サブスクリプション]  の順にクリックします。In the Azure portal, click All services and then Subscriptions.

  2. アクセス権を付与するサブスクリプションをクリックします。Click the subscription where you want to grant access.

  3. [アクセス制御 (IAM)] をクリックします。Click Access control (IAM).

  4. [ロールの割り当て] タブをクリックして、このサブスクリプションのロールの割り当てを表示します。Click the Role assignments tab to view the role assignments for this subscription.

    [アクセス制御 (IAM)] および [ロールの割り当て] タブ

  5. [追加] > [ロールの割り当ての追加] をクリックします。Click Add > Add role assignment.

    ロールを割り当てるためのアクセス許可がない場合は、[ロールの割り当ての追加] オプションは無効になります。If you don't have permissions to assign roles, the Add role assignment option will be disabled.

    [追加] メニュー

    [ロールの割り当ての追加] ウィンドウが開きます。The Add role assignment pane opens.

    [ロールの割り当ての追加] ウィンドウ

  6. [ロール]  ドロップダウン リストで、 [所有者]  ロールを選択します。In the Role drop-down list, select the Owner role.

  7. [選択] 一覧で、ユーザーを選択します。In the Select list, select a user. 一覧にユーザーが表示されない場合には、 [選択]  ボックスに表示名とメール アドレスを入力して、ディレクトリを検索します。If you don't see the user in the list, you can type in the Select box to search the directory for display names and email addresses.

  8. [保存] をクリックしてロールを割り当てます。Click Save to assign the role.

    しばらくすると、サブスクリプション スコープで、ユーザーに所有者のロールが割り当てられます。After a few moments, the user is assigned the Owner role at the subscription scope.

ロールの割り当てを削除するRemove a role assignment

Azure RBAC では、Azure リソースからアクセス権を削除するために、ロールの割り当てを削除します。In Azure RBAC, to remove access from an Azure resource, you remove a role assignment. ロールの割り当てを削除するには、次の手順に従います。Follow these steps to remove a role assignment.

  1. アクセス権を削除する管理グループ、サブスクリプション、リソース グループ、リソースなどのスコープで [アクセス制御 (IAM)] を開きます。Open Access control (IAM) at a scope, such as management group, subscription, resource group, or resource, where you want to remove access.

  2. [ロールの割り当て] タブをクリックして、このサブスクリプションのすべてのロールの割り当てを表示します。Click the Role assignments tab to view all the role assignments for this subscription.

  3. ロールの割り当ての一覧で、ロールの割り当てを削除するセキュリティ プリンシパルの隣にチェックマークを追加します。In the list of role assignments, add a checkmark next to the security principal with the role assignment you want to remove.

    ロールの割り当ての削除メッセージ

  4. [削除] をクリックします。Click Remove.

    ロールの割り当ての削除メッセージ

  5. ロールの割り当ての削除メッセージが表示されたら、 [はい] をクリックします。In the remove role assignment message that appears, click Yes.

    継承されたロールの割り当てを削除できないというメッセージが表示された場合は、子スコープでロールの割り当てを削除しようとしています。If you see a message that inherited role assignments cannot be removed, you are trying to remove a role assignment at a child scope. ロールが割り当てられたスコープでアクセス制御 (IAM) を開き、再試行してください。You should open Access control (IAM) at the scope where the role was assigned and try again. [スコープ] 列を確認し、 [(継承済み)] の横にあるリンクをクリックすると、正しいスコープでアクセス制御 (IAM) をすばやく開くことができます。A quick way to open Access control (IAM) at the correct scope is to look at the Scope column and click the link next to (Inherited).

    ロールの割り当ての削除メッセージ

次のステップNext steps