Azure portal を使用して Azure ロールの割り当て条件を追加または編集する
Azure ロール割り当ての条件は、必要に応じてロール割り当てに追加し、より細かなアクセス制御を行うことで、安全確認を強化するための仕組みです。 たとえば、特定のタグが設定されたオブジェクトしか読み取れない、という条件を設定できます。 この記事では、Azure portal でロール割り当ての条件を追加、編集、閲覧、削除する方法を説明します。
前提条件
ロールの割り当て条件を追加または編集するための前提条件の詳細については、条件の前提条件に関するページを参照してください。
ステップ 1: 必要な条件を判断する
便利な条件についてアイデアを得るには、「Blob Storage用のAzure ロール割り当ての条件の例」に関する記事をご確認ください。
現在条件を追加できるのは、BLOB ストレージデータアクションまたはキュー ストレージ データ アクションがある、組み込みまたはカスタムのロール割り当てです。 これらには、次の組み込みロールが含まれます。
- ストレージ BLOB データ共同作成者
- ストレージ BLOB データ所有者
- ストレージ BLOB データ閲覧者
- ストレージ キュー データ共同作成者共同作成者
- ストレージ キュー データのメッセージ プロセッサ
- ストレージ キュー データ メッセージ送信者
- ストレージ キュー データ閲覧者
ステップ 2: 条件の追加方法を選ぶ
条件を追加する方法は 2 つあります。 新たにロールを割り当てるときに条件を追加する方法と、割り当て済みのロールに条件を追加する方法があります。
New role assignment
「Azure portal を使用して Azure ロールを割り当てる」の手順を実行します。
[条件 (省略可能)] タブで [条件の追加] をクリックします。
[条件 (省略可能)] タブが表示されない場合は、これらの条件をサポートするロールを選択したことを確認してください。
![[ロールの割り当ての追加] ページで [条件の追加] タブが表示された状態のスクリーンショット。](media/shared/condition.png)
[ロールの割り当て条件を追加する] ページが表示されます。
既存のロール割り当て
Azure portal で、条件を追加したいスコープで [アクセス制御 (IAM)] を開きます。 たとえば、サブスクリプション、リソース グループまたはリソースを開きます。
現在 Azure portal では、管理グループのスコープで条件を追加、閲覧、編集、削除することはできません。
[ロールの割り当て] タブをクリックして、このスコープのすべてのロールの割り当てを表示します。
条件を追加したいストレージ データ アクションがあるロール割り当てを見つけます。
[条件] 列で [追加] をクリックします。
[追加] リンクが表示されない場合は、ロール割り当てと同じスコープを見ていることを確認してください。
![[条件] 列のあるロール割り当てリスト。](media/conditions-role-assignments-portal/condition-role-assignments-list.png)
[ロールの割り当て条件を追加する] ページが表示されます。
ステップ 3: 基本項目を確認する
ロール割り当ての条件追加ページでは、条件の基本項目を確認できます。 [ロール] は条件を追加するロールを表します。
[エディターの種類] オプションでは、既定の [ビジュアル] を選択したままにします。
条件を追加すると、[ビジュアル] と [コード] を切り替えられるようになります。
(オプション) [説明] ボックスが表示される場合は、説明を入力します。
条件の追加方法により、[説明] ボックスが表示されない場合もあります。 説明は、その状態の目的を解釈し条件を思い出すのに役立ちます。
ステップ 4: アクションを追加する
[アクションの追加] セクションで [アクションの追加] をクリックします。
[アクションの選択] ペインが表示されます。 条件を設定するロール割り当てに合わせて絞り込まれたデータ アクションのリストが、このペインに表示されます。 詳しくは、Azure ロール割り当ての条件の形式と構文に関する記事をご覧ください。
![条件の [アクションの選択] ペイン。アクションが選択されています。](media/conditions-role-assignments-portal/condition-actions-select.png)
条件を満たす場合に許可するアクションを選択します。
1 つの条件に対して複数のアクションを選択すると、選択したアクション全体で属性が使用できる必要があるため、条件のために選択する属性の数は少なくなる可能性があります。
[選択] をクリックします。
選択したアクションがアクションのリストに表示されます。
手順 5: 式を作成する
[式の作成] セクションで [式の追加] をクリックします。
[式] セクションが展開されます。
[Attribute source]\(属性ソース\) リストで、何に対する属性を式に使用するかを選択します。
- 環境は、該当の属性が、プライベート リンクや現在の日時などのリソースへのアクセスに使用されるネットワーク環境に関連付けられていることを示します。
- [リソース] を選択すると、コンテナー名などのリソースに対する属性を使用します。
- [要求] を選択すると、BLOB のインデックス タグの設定などの、アクション要求に対する属性を使用します。
- プリンシパルは、該当の属性が、ユーザー、エンタープライズ アプリケーション (サービス プリンシパル)、マネージド ID などの Microsoft Entra カスタム セキュリティ属性プリンシパルであることを示します。
[属性] リストで、式の左側に使用する属性を選択します。
サポートされている属性ソースと個々の属性の詳細については、「 属性」を参照してください。
選択する属性によっては、追加の属性の詳細または演算子を指定するためのボックスが追加される場合があります。 例えば、一部の属性では、 Exists 関数演算子をサポートしています。これは、属性が暗号化スコープなどのリソースに現在関連付けられているかどうかをテストするために使用できます。
[演算子] リストでは、演算子を選択します。
詳しくは、Azure ロール割り当ての条件の形式と構文に関する記事をご覧ください。
[値] ボックスでは、式の右側に使用する値を入力します。
![[式の作成] セクション。BLOB インデックス タグの値が表示されています。](media/shared/condition-expressions.png)
必要に応じて、さらに式を追加します。
3 つ以上の式を追加する場合は、接続する論理演算子が正しく評価されるように、それらをかっこでグループ化する必要があります。 グループ化したい式の横にチェック マークを追加して、グループ を選択します。 グループ化を解除するには、グループ化解除 を選択します。
![グループ化する複数の式を含む [Build expression]\(式の作成\) セクション。](media/conditions-role-assignments-portal/condition-group.png)
ステップ 6: 条件を確認、追加する
[エディターの種類] まで上方にスクロールし、 [コード] をクリックします。
条件がコードとして表示されます。 このコード エディターでは、条件を変更できます。 コード エディターは、サンプル コードを貼り付ける場合や、より複雑な条件を構築するための演算子やロジックを追加する場合に便利です。 ビジュアル エディターに戻るには、 [ビジュアル] をクリックします。
[保存] をクリックしてロール割り当てに条件を追加します。
条件を閲覧、編集または削除する
Azure portal で、閲覧、編集または削除したい条件のあるロール割り当ての [アクセス制御 (IAM)] を開きます。
[ロールの割り当て] タブをクリックして目的のロール割り当てを見つけます。
[条件] 列で、[表示または編集] をクリックします。
表示/編集 リンクが表示されない場合は、ロール割り当てと同じスコープを見ていることを確認してください。
![条件の [表示または編集] リンクを含むロール割り当てのリスト。](media/shared/condition-role-assignments-list-edit.png)
[ロールの割り当て条件を追加する] ページが表示されます。
エディターで条件を閲覧または編集します。
![[表示または編集] リンクをクリックしてエディターに表示された条件。](media/conditions-role-assignments-portal/condition-edit.png)
完了したら、 [保存] をクリックします。 条件全体を削除するには、[条件の削除] をクリックします。 条件を削除してもロール割り当ては削除されません。