AZ-500対策 Microsoft Azure の RBAC（ロールベースのアクセス制御）の概要を理解する

AZ-500

2021.12.212021.11.23

こちらの内容についてMicrosoft社のAzureドキュメントを見ながら勉強し理解した内容を共有する。

Azure ロールベースのアクセス制御 (Azure RBAC) を使用した Azure リソースのセキュリティ保護 - Training

Azureロールベースのアクセス制御を使用して、チームのAzureリソースへのアクセスを効果的に管理する方法について説明します。

この記事をサクッと読んでからMicrosoft社のドキュメントを読むと少し理解が早いかもしれない。（逆に混乱したらすみません）
昔の日本語ドキュメントサイトに比べて最近は本当に改善されて読みやすくなったので、もっと深く理解したいと思った方は記事途中に参照リンクを貼っておくのでそちらを参照されたし。

目次

Azure RBACとは

Azure RBACとは

RBACは、Azure ADに組み込まれたアクセス制御機能の１つ。RBACを理解するためには、Azure AD、Management group、Azure Subscription、Azure Resource Group, Resourceの関係を理解する必要がある。

Azure ロールベースのアクセス制御 (Azure RBAC) とは

Azureロールベースのアクセス制御(AzureRBAC)の概要を説明します。ロールの割り当てを使用して、Azureリソースへのアクセスを制御します。

Azure RBACは、Azure AD で管理しているユーザー、グループ、アプリケーションが、どのAzureリソースに対して、どのような操作を実施できるかを制御する。

用語

Azure AD
- ユーザー、グループ、アプリケーションの管理機能とAzureリソースへのアクセス制御を提供する
Azureリソース
- 仮想ネットワーク（Virtual Network – VNet）, 仮想マシン（Virtual Machine – VM）, ネットワークセキュリティグループ（Network Security Group – NSG）などのAzureで管理しているリソース群
セキュリティプリンシパル(Who)
- ユーザー
- グループ
- アプリケーション(＝サービスプリンシパルともいうらしい)
ロール(What)
- Azure AD ロール（Azure ADへのアクセス権限を定義したもの）
- Azureロール（Azure リソースへのアクセス権限を定義したもの）
- 従来のサブスクリプション管理者ロール
Azureリソースのスコープ(Where)
- 管理グループ
- サブスクリプション
- リソースグループ
- リソース

Azure RBAC のスコープについて

Azureロールベースのアクセス制御(AzureRBAC)のスコープと、リソースのスコープを決定する方法について説明します。

ロールの種類

ロールには３種類あり、それぞれ管理スコープが異なる

Azure ADロール
- Azure ADテナント自体のアクセス権限を定義した組み込みロール
  - 「全体管理者」
  - 「アプリケーション管理者」
  - 「アプリケーション開発者」
  - 「課金管理者」
Azure ロール
- 管理グループ配下のAzureリソースへのアクセス権限を定義したロール
  - 「所有者」
  - 「共同作成者」
  - 「閲覧者」
  - 「ユーザーアクセス管理者」
従来のサブスクリプション管理者ロール
- サブスクリプション配下のAzure リソースのロール
  - サービス管理者
  - 共同管理者

Azure ロールの定義について - Azure RBAC

Azureリソースの詳細なアクセス管理を行うためのAzureロールベースのアクセス制御(RBAC)のAzureロール定義について説明します。

Azureロール

以下は基本的な組み込みロール、必要に応じてカスタムロールも作成できる。

所有者
- 他ユーザーへのアクセス許可を委任する権限を含めてリソースに対する全権限
共同作成者
- リソースへの全権限を持つが、他ユーザーへのアクセス許可はできない
閲覧者
- リソース表示のみ
ユーザーアクセス管理者
- リソース表示とリソースへのユーザーアクセス管理のみ

Azure RBACの利用シーン

例えば以下のようなアクセス制御を行いたい場合に、RBACが有効。

ユーザー１にサブスクリプション内のすべての仮想マシンの管理を許可
ユーザー２にサブスクリプション内のすべての仮想ネットワーク管理を許可
グループ１にサブスクリプション内のすべてのSQLデータベース管理を許可
ユーザー３にリソースグループ内のすべてのリソース管理を許可
アプリケーション１にリソースグループ内のすべてのリソースへのアクセスを許可

Azureリソースのスコープの継承関係

各Azureスコープには継承関係が適用される。

管理グループに付与されたロールは、配下のすべてのサブスクリプションにも適用される
サブスクリプションに付与されたロールは配下のすべてのリソースグループにも適用される
リソースグループに付与されたロールは配下のリソースにも適用される

具体的な例

Azure ADにはマーケティング部門の従業員が登録されている「マーケティンググループ」がある。

Azureで販売システムを運用しており、「販売リソースグループ」にてVNet、VM、Storageなどを管理している。

例えば、マーケティング部門の従業員が販売システムを管理するために権限を付与する場合、Azureポータル上で、スコープである「販売リソースグループ」のIAMに対して

セキュリティプリンシパル＝「マーケティンググループ」
ロール＝「共同作成者」

というアクセス許可を設定すればよい。

手順としては

Azureポータルでスコープを特定する
アクセス許可する対象のセキュリティプリンシパルを指定する
ロールを付与する

１つのスコープに対して同時に２つ以上のロールを持つセキュリティプリンシパルの場合

Azure RBACは許可モデルである。

例えば、「販売リソースグループ」に対して「閲覧者」と「共同作成者」の２つロールが許可されたユーザーの場合、より権限の強いアクセス許可が付与されるため、「共同作成者」としてのアクセスが許可されることになる。

コメント

マサトッシュ

組み込み機器制御系システム開発、インターネットサービス開発エンジニアを経て、最近はエンタープライズシステムのクラウド化の支援。
チームや組織のマネジメントに関わっていたが、やっぱりモノづくりに直接関わりたいと思い、技術者として仕事をすることに対する評価を高く見てくれる外資系企業へ転職。
開発力は随分と錆びついてしまったが、ソフトウェア開発の楽しさを忘れることができず、再びチャレンジを開始し、その内容を発信したくてブログを始める。
クラウド関連の技術を活用したシステムの構築方法に関する専門家を目指し、日々オンラインドキュメントと格闘中。

※ブログに記載の内容は個人の意見であって、所属会社や組織を代表するものではありません

タイトルとURLをコピーしました