ユーザーのロールとアクセス許可
Microsoft Defender for Cloud は Azure のロールベースのアクセス制御 (Azure RBAC) を使用して、組み込みロールを提供します。 これらのロールを Azure のユーザー、グループ、サービスに割り当てることで、ロールで定義されているアクセス権に従ってユーザーにリソースへのアクセス権を付与できます。
Defender for Cloud は、リソースの構成を評価して、セキュリティの問題と脆弱性を特定します。 サブスクリプションまたはリソースが存在するリソース グループのロール (所有者、共同作成者、または閲覧者) が割り当てられている場合、Defender for Cloud ではリソースに関連する情報のみが表示されます。
組み込みロールに加えて、Defender for Cloud に固有のロールが 2 つあります。
- セキュリティ閲覧者: このロールに属しているユーザーには Defender for Cloud に対する読み取り専用のアクセス権があります。 レコメンデーション、警告、セキュリティ ポリシー、セキュリティの状態を閲覧できますが、変更することはできません。
- セキュリティ管理者: このロールに属しているユーザーは、セキュリティ閲覧者と同じアクセス許可を持ち、さらにセキュリティ ポリシーを更新したり、アラートと推奨事項を無視したりすることもできます。
タスクを実行するために必要となる最小限の権限ロールをユーザーに割り当てることをお勧めします。 たとえば、リソースのセキュリティ正常性に関する情報の表示のみが必要で、推奨事項の適用やポリシーの編集などの操作を行う必要がないユーザーには、閲覧者ロールを割り当ててください。
ルールと許可されているアクション
次の表は、Defender for Cloud でのロールと許可されているアクションを示しています。
| 操作 | セキュリティ閲覧者 / Reader |
Security Admin | 共同作成者 / 所有者 | Contributor | 所有者 |
|---|---|---|---|---|---|
| (リソース グループ レベル) | (サブスクリプション レベル) | (サブスクリプション レベル) | |||
| イニシアティブを追加する、または割り当てる (規制コンプライアンス標準を含む) | - | ✔ | - | - | ✔ |
| セキュリティ ポリシーを編集する | - | ✔ | - | - | ✔ |
| Microsoft Defender プランを有効または無効にする | - | ✔ | - | ✔ | ✔ |
| アラートを無視する | - | ✔ | - | ✔ | ✔ |
| リソースに対するセキュリティ推奨事項の適用 (およびFix の使用) | - | - | ✔ | ✔ | ✔ |
| アラートと推奨事項を表示する | ✔ | ✔ | ✔ | ✔ | ✔ |
| セキュリティの推奨事項を除外する | - | ✔ | - | - | ✔ |
監視コンポーネントのデプロイに必要な特定のロールは、デプロイする拡張機能によって異なります。 コンポーネント監視の詳細についてはこちらをご覧ください。
エージェントと拡張機能を自動的にプロビジョニングするために使用されるロール
セキュリティ管理者ロールが Defender for Cloud プランで使用されるエージェントと拡張機能を自動的にプロビジョニングできるよう、Defender for Cloud は Azure Policy と同様の方法でポリシーの修復を使用します。 修復を使用するには、Defender for Cloud でサブスクリプション レベルでロールを割り当てるサービス プリンシパル (マネージド ID とも呼ばれる) を作成する必要があります。 たとえば、Defender for Containers プランのサービス プリンシパルは次のとおりです。
| サービス プリンシパル | ロール |
|---|---|
| AKS セキュリティ プロファイルをプロビジョニングする Defender for Containers | • Kubernetes 拡張機能共同作成者 • 共同作成者 • Azure Kubernetes Service 共同作成者 • Log Analytics 共同作成者 |
| Arc 対応 Kubernetes をプロビジョニングする Defender for Containers | • Azure Kubernetes Service 共同作成者 • Kubernetes 拡張機能共同作成者 • 共同作成者 • Log Analytics 共同作成者 |
| Kubernetes 用の Azure Policy アドオンをプロビジョニングする Defender for Containers | • Kubernetes 拡張機能共同作成者 • 共同作成者 • Azure Kubernetes Service 共同作成者 |
| Arc 対応 Kubernetes 用の Policy 拡張機能をプロビジョニングする Defender for Containers | • Azure Kubernetes Service 共同作成者 • Kubernetes 拡張機能共同作成者 • 共同作成者 |
次のステップ
この記事では、Defender for Cloud で Azure RBAC を使用してユーザーにアクセス許可を割り当てる方法について説明し、各ロールに許可されているアクションを示しました。 サブスクリプションのセキュリティ状態を監視するために必要なロールの割り当てについて理解したら、セキュリティ ポリシーを編集し、推奨事項を適用して、次の方法を学習してください。