ロールとアクセス許可
組織の推奨事項とレビューへのアクセスを管理する方法について説明します。
ロールとそれに関連付けられているアクセス
Advisor は、Azure ロールベースのアクセス制御 (Azure RBAC) によって提供される組み込みのロールを使用します。
各ロールとそれに関連付けられているアクセスの詳細については、次のセクションを参照してください。
推奨事項を表示、無視、延期するためのロール
| ロール | 推奨事項を表示する | 推奨事項を無視して延期する |
|---|---|---|
| サブスクリプション閲覧者 | x | |
| サブスクリプションの共同作成者 | x | x |
| サブスクリプションの所有者 | x | x |
| リソース グループ閲覧者 | x | |
| リソース グループの共同作成者 | x | x |
| リソース グループの所有者 | x | x |
| リソース閲覧者 | x | |
| リソースの共同作成者 | x | x |
| リソースの所有者 | x | x |
規則と構成を編集するためのロール
| ロール | ルールを編集する | サブスクリプションの構成を編集する | リソース グループの構成を編集する |
|---|---|---|---|
| サブスクリプションの共同作成者 | x | X | x |
| サブスクリプションの所有者 | x | X | x |
| リソース グループの共同作成者 | x | ||
| リソース グループの所有者 | x |
Note
推奨事項を表示するには、その推奨事項に関連付けられているリソースにアクセスできる必要があります。
組み込みのロールの詳細については、「Azure 組み込みロール」を参照してください。 Azure ロールベースのアクセス制御 (RBAC) の詳細については、「Azure ロールベースのアクセス制御 (Azure RBAC) とは」を参照してください。
レビューとパーソナライズされた推奨事項
Advisor のレビューへのアクセスを管理するためのロール
アクセス許可はロールによって異なります。 これらのロールは、レビューの公開に使用されたサブスクリプションに対して構成する必要があります。
| ロール | ワークロードのレビューとレビューに関連するすべての推奨事項を表示する | レビューに関連する推奨事項をトリアージする |
|---|---|---|
| Advisor のレビュー閲覧者 | x | |
| Advisor のレビュー共同作成者 | x | x |
| サブスクリプション閲覧者 | x | |
| サブスクリプションの共同作成者 | x | x |
| サブスクリプションの所有者 | x | x |
Advisor のパーソナライズされた推奨事項へのアクセスを管理するためのロール
これらのロールは、レビュー中のワークロードに含まれるサブスクリプションに対して構成する必要があります。
| ロール | 受け入れられた推奨事項を表示する | 推奨事項のライフサイクルを管理する |
|---|---|---|
| Advisor の推奨事項の共同作成者 (評価とレビュー) | x | x |
| サブスクリプション閲覧者 | x | |
| サブスクリプションの共同作成者 | x | |
| サブスクリプションの所有者 | x |
Azure ロールを割り当てる方法については、「Azure ロールを割り当てる手順」を参照してください。
評価の表示と管理
評価および関連する推奨事項を表示および管理するためのロール
組み込みのロールを使用して、Advisor Well-Architected Framework (WAF) へのアクセスを管理します。 アクセス許可はロールによって異なります。
| ロール | 詳細 |
|---|---|
| Reader | サブスクリプションまたはワークロードの評価および関連する推奨事項を表示します。 |
| Contributor | サブスクリプションまたはワークロードの評価の作成と、関連する推奨事項のライフサイクルの管理を行います。 |
Note
評価を作成し、対応する推奨事項を表示するには、関連するサブスクリプションに対してロールを構成する必要があります。
カスタム ロールを作成するために使用できるアクション
組織で Azure の組み込みロールと一致しないロールが必要な場合は、独自のカスタム ロールを作成します。 カスタム ロールは組み込みロールと同様に機能し、管理グループ、サブスクリプション、リソース グループのスコープでユーザー、グループ、サービス プリンシパルに割り当てることができます。 カスタム ロールを作成するには、次のアクションを使用します。
| アクション | 詳細 |
|---|---|
Microsoft.Advisor/generateRecommendations/action |
推奨事項を作成します。 |
Microsoft.Advisor/register/action |
プロバイダーに登録します。 |
Microsoft.Advisor/unregister/action |
プロバイダーから登録を解除します。 |
Microsoft.Advisor/advisorScore/read |
Advisor スコアを取得します。 |
Microsoft.Advisor/configurations/read |
構成を読み取ります。 |
Microsoft.Advisor/configurations/write |
構成を作成または更新します。 |
Microsoft.Advisor/generateRecommendations/read |
generateRecommendations アクションの状態を取得します。 |
Microsoft.Advisor/metadata/read |
メタデータを読み取ります。 |
Microsoft.Advisor/operations/read |
操作を取得します。 |
Microsoft.Advisor/recommendations/read |
推奨事項を読み取ります。 |
Microsoft.Advisor/recommendations/write |
推奨事項を作成します。 |
Microsoft.Advisor/recommendations/available/action |
新しい推奨事項を使用できます。 |
Microsoft.Advisor/recommendations/suppressions/read |
抑制を読み取ります。 |
Microsoft.Advisor/recommendations/suppressions/write |
抑制を作成または更新します。 |
Microsoft.Advisor/recommendations/suppressions/delete |
抑制を削除します。 |
Microsoft.Advisor/suppressions/read |
抑制を読み取ります。 |
Microsoft.Advisor/suppressions/write |
抑制を作成または更新します。 |
Microsoft.Advisor/suppressions/delete |
抑制を削除します。 |
Microsoft.Advisor/assessmentTypes/read |
AssessmentTypes を読み取ります。 |
Microsoft.Advisor/assessments/read |
評価を読み取ります。 |
Microsoft.Advisor/assessments/write |
評価を作成します。 |
Microsoft.Advisor/resiliencyReviews/read |
resiliencyReviews を読み取ります。 |
Microsoft.Advisor/triageRecommendations/read |
triageRecommendations を読み取ります。 |
Microsoft.Advisor/triageRecommendations/approve/action |
triageRecommendations を承認します。 |
Microsoft.Advisor/triageRecommendations/reject/action |
triageRecommendations を拒否します。 |
Microsoft.Advisor/triageRecommendations/reset/action |
triageRecommendations をリセットします。 |
Microsoft.Advisor/workloads/read |
ワークロードを読み取ります。 |
Note
たとえば、仮想マシン (VM) に関連付けられた推奨事項を表示するには、VM に対する十分なアクセス許可レベルが必要です。
カスタム ロールの詳細については、「Azure カスタム ロール」を参照してください。
アクセス許可と使用できないアクション
アクセス許可レベルが低すぎると、関連付けられているアクションへのアクセスがブロックされます。 次のセクションの一般的な問題を確認してください。
サブスクリプションまたはリソース グループの構成がブロックされる
サブスクリプションまたはリソース グループを構成しようとしたときに、含めるまたは除外するオプションがブロックされます。 ブロックされた状態は、そのリソース グループまたはサブスクリプションに対するアクセス許可レベルが十分ではないことを示します。 アクセス許可レベルを変更する方法については、「チュートリアル: Azure portal を使用して Azure リソースへのアクセス権をユーザーに付与する」を参照してください。
延期または無視は許可されますが、エラーが送信される
推奨事項を延期または無視しようとしたときに、エラーが表示されます。 このエラーは、アクセス許可レベルが十分ではないことを示します。 推奨事項を無視するための十分なアクセス許可レベルが必要です。
ヒント
推奨事項を無視した後、それが推奨事項の一覧に追加される前に手動で再アクティブ化する必要があります。 推奨事項を無視すると、Azure デプロイを最適化する重要なアドバイスを見逃す可能性があります。
推奨事項を延期または無視するには、推奨事項に関連付けられているリソースに対するアクセス許可レベルが共同作成者以上に設定されていることを確認します。 アクセス許可レベルを変更する方法については、「チュートリアル: Azure portal を使用して Azure リソースへのアクセス権をユーザーに付与する」を参照してください。
関連するコンテンツ
この記事では、Advisor で Azure ロールベースのアクセス制御 (Azure RBAC) を使用してユーザー アクセス許可が制御される方法と、一般的な問題を解決する方法の概要を説明しました。 Advisor の詳細については、次の記事を参照してください。