編集

Azure portal を使用して Azure ロールを割り当てる

  • 操作方法

Azure ロールベースのアクセス制御 (Azure RBAC) は、Azure のリソースに対するアクセスを管理するために使用する承認システムです。 アクセス権を付与するには、特定のスコープでユーザー、グループ、サービス プリンシパル、またはマネージド ID にロールを割り当てます。 この記事では、Azure portal を使用してロールを割り当てる方法について説明します。

Microsoft Entra ID で管理者ロールを割り当てる必要がある場合、「ユーザーに Microsoft Entra ロールを割り当てる」を参照してください。

前提条件

Azure ロールを割り当てるには、次のものが必要です。

手順 1: 必要なスコープを特定する

ロールを割り当てる場合は、スコープを指定する必要があります。 スコープは、アクセスが適用されるリソースのセットです。 Azure では、範囲の広いものから順に、管理グループ、サブスクリプション、リソース グループ、リソースの 4 つのレベルでスコープを指定できます。 詳細については、スコープの概要に関する記事を参照してください。

Azure RBAC のスコープ レベルを示す図。

  1. Azure portal にサインインします。

  2. 上部にある [検索] ボックスで、アクセス権を付与するスコープを検索します。 たとえば、 [管理グループ][サブスクリプション][リソース グループ] 、または特定のリソースを検索します。

  3. そのスコープの特定のリソースをクリックします。

    次に示すのは、リソース グループの例です。

    リソース グループの [概要] ページのスクリーンショット。

手順 2: [ロールの割り当ての追加] ページを開く

アクセス制御 (IAM) は、一般的には、ロールを割り当てて Azure リソースへのアクセスを付与するために使用するページです。 "ID とアクセス管理 (IAM)" とも呼ばれており、Azure portal のいくつかの場所に表示されます。

  1. [アクセス制御 (IAM)] をクリックします。

    リソース グループの [アクセス制御 (IAM)] ページの例を次に示します。

    リソース グループの [アクセス制御 (IAM)] ページのスクリーンショット。

  2. [ロールの割り当て] タブをクリックして、このスコープのロールの割り当てを表示します。

  3. [追加]>[ロールの割り当ての追加] をクリックします。

    ロールを割り当てるアクセス許可を持ってない場合は、[ロールの割り当 ての追加 ] オプションが無効になります。

    [追加] > [ロールの割り当ての追加] メニューのスクリーンショット。

    [ロールの割り当ての追加] ページが開きます。

手順 3: 適切なロールを選択する

次のステップを実行します。

  1. [ロール] タブで、使用するロールを選択します。

    ロールは、名前または説明で検索できます。 種類とカテゴリでロールをフィルター処理することもできます。

    [ロールの割り当ての追加] ページで [ロール] タブが表示された状態のスクリーンショット。

  2. 特権管理者ロールを割り当てる場合は、[特権管理者ロール] タブを選択して、ロールを選択します。

    特権管理者ロールの割り当てを使用する場合のベスト プラクティスについては、「Azure RBAC のベスト プラクティス」を参照してください。

    [ロールの割り当ての追加] ページで [特権管理者ロール] タブが表示された状態のスクリーンショット。

  3. [詳細] 列で [表示] をクリックして、ロールに関する詳細を表示します。

    [アクセス許可] タブが表示された [ロールの詳細の表示] ウィンドウのスクリーンショット。

  4. 次へ をクリックします。

手順 4: アクセスを必要とするユーザーを選択する

次のステップを実行します。

  1. [メンバー] タブで、[ユーザー、グループ、またはサービス プリンシパル] を選択して、選択したロールを 1 つ以上の Microsoft Entra ユーザー、グループ、またはサービス プリンシパル (アプリケーション) に割り当てます。

    [ロールの割り当ての追加] ページで [メンバー] タブが表示された状態のスクリーンショット。

  2. [メンバーの選択] をクリックします。

  3. ユーザー、グループ、またはサービス プリンシパルを検索して選択します。

    [選択] ボックスに表示名またはメール アドレスを入力してディレクトリを検索できます。

    [メンバーの選択] ウィンドウのスクリーンショット。

  4. [選択] をクリックして、メンバーの一覧にユーザー、グループ、またはサービス プリンシパルを追加します。

  5. 選択したロールを 1 つ以上のマネージド ID に割り当てるには、 [マネージド ID] を選択します。

  6. [メンバーの選択] をクリックします。

  7. [マネージド ID の選択] ウィンドウで、種類が [ユーザー割り当てマネージド ID] であるか、[システム割り当てマネージド ID] であるかを選択します。

  8. マネージド ID を検索して選択します。

    システム割り当てマネージド ID の場合は、Azure サービス インスタンス別のマネージド ID を選択できます。

    マネージド ID ウィンドウを選択するスクリーンショット。

  9. [選択] をクリックして、メンバーの一覧にマネージド ID を追加します。

  10. 必要に応じて、 [説明] ボックスにこのロール割り当ての説明を入力します。

    後で、ロールの割り当ての一覧にこの説明を表示できます。

  11. 次へ をクリックします。

手順 5: (省略可能) 条件を追加する

条件をサポートするロールを選択した場合は、[条件] タブが表示され、必要に応じてロールの割り当てに条件を追加できます。 条件は、よりきめ細かなアクセス制御を行うために、必要に応じてロールの割り当てに追加できる追加のチェックです。

[条件] タブの外観は、選択したロールによって異なります。

制約を委任する

重要

Azure ロールの割り当て管理の条件付き委任は、現在プレビュー段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用される法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。

次のいずれかの特権ロールを選択した場合は、このセクションの手順に従います。

  1. [条件] タブの [What user can do] (ユーザーができる操作) の下にある [Allow user to only assign selected roles to selected principals (fewer privileges)] (選択したプリンシパルに選択したロールのみを割り当てることをユーザーに許可 (少ない権限)) オプションを選択します。

    [ロールの割り当ての追加] で [制約付き] オプションが表示された状態のスクリーンショット。

  2. [ロールとプリンシパルの選択] をクリックして、ロールと、このユーザーがロールを割り当てることができるプリンシパルを制約する条件を追加します。

  3. 条件を使用して Azure ロールの割り当て管理を他のユーザーに委任する (プレビュー)」の手順に従います。

ストレージ条件

次のいずれかのストレージ ロールを選択した場合は、このセクションの手順に従います。

  1. ストレージ属性に基づいてロールの割り当てをさらに調整する場合は、[条件の追加] を選択します。

    [ロールの割り当ての追加] ページで [条件の追加] タブが表示された状態のスクリーンショット。

  2. Azure ロールの割り当て条件の追加または編集に関するページの手順に従います。

手順 6: ロールを割り当てる

次のステップを実行します。

  1. [Review + assign](確認と割り当て) タブで、ロールの割り当ての設定を確認します。

    [Review + assign]\(確認と割り当て\) タブが表示された [ロールの割り当て] ページのスクリーンショット。

  2. [Review + assign]\(確認と割り当て\) をクリックしてロールを割り当てます。

    しばらくすると、セキュリティ プリンシパルに選択されたスコープのロールが割り当てられます。

    ロールを割り当てた後のロールの割り当ての一覧のスクリーンショット。

  3. ロールの割り当ての説明が表示されない場合は、[列の編集] をクリックして [説明] 列を追加します。

関連するコンテンツ