RBAC と Azure Websites での発行操作

このポストは、1 月 5 日に投稿された RBAC and Azure Websites Publishing の翻訳です。

Azure に新たに導入された Roles Based Access Control (RBAC) 機能では、従業員やパートナーからのクラウド リソースへのアクセスを簡単に管理することができます。RBAC、Azure Active Directory での基本的なサポート、および Azure 管理ポータル プレビューとの統合の詳細については、こちらのページを参照してください。

Azure Websites ユーザーにとっての具体的なメリットは、RBAC の機能によって、コンテンツを発行する投稿を管理できることです。投稿者ロールのアクセス許可を所有していれば、ユーザーは自ユーザーのデプロイメント資格情報を使用してコンテンツを発行できます。RBAC を利用すると、投稿への属性設定、およびアクセス権の迅速な付与や削除が容易になるため、Websites のリソースの資格情報を共有する場合に比べて非常に便利です。また、オープン ソースの発行クライアントでは、Web サイトの発行プロファイルではなく個々のデプロイメントの資格情報が必要な場合がありますが、このようなクライアントを使用している企業でも、RBAC の利用には大きなメリットがあります。

ロール ベースのアクセスの例

ユーザーを Websites のリソース投稿者として追加するには、Azure 管理ポータル プレビューで特定の Websites を選択し、次に [Access] レンズで [Roles] を選択します。

ここでユーザーを投稿者として追加します。ロールは、リソース グループなどの個々のリソースに割り当てられます。外部ユーザーを追加すると、そのディレクトリにゲストが作成されます。同様に、Websites のリソースへのアクセス権の取り消しも、[Roles] から簡単に実行できます。RBAC のロールからゲストを削除しても、ディレクトリからは削除されませんのでご注意ください。

これで、新たに追加された投稿者ユーザーは Azure 管理ポータル プレビューのビュー右上隅で適切なディレクトリを選択し、関連する Websites のリソースを参照できるようになります。この投稿者ユーザーは、自ユーザーのデプロイメント資格情報を使用して変更を発行することができます。

ローカル Git の発行の例

次に、ローカル Git からの発行の例をご紹介します。投稿者ユーザーは、[Deployment] レンズからデプロイメントの資格情報の設定やリセットができます。

ソース管理が有効な Websites に Web サイトのコンテンツのクローンを作成する場合は、[Properties] ブレードで Git の URL を指定します。

git push 操作を実行すると、[Deployments] ブレードに他のユーザーからのコンテンツが反映されます。

Web サイトの運用

Web サイトの運用は、コンテンツの発行だけでは成り立ちません。診断やサービス提供の操作も必要ですが、その点でも Azure Websites で RBAC を活用できます。投稿者ロールを所有することで、そのユーザーのデプロイメント資格情報を使用して SCM の Websites の管理者用エンドポイントにもアクセスできるようになります。また、ログ ストリームなどの診断ツールや WebJobs などの操作機能にもアクセスすることができます。