Azure には、任意の Azure Sphere リソースに割り当てることができる一連の一般的な組み込みロールが用意されていますが、管理者がジョブを実行する能力を損なうことなく、特定のユーザーのスコープを最大限に制限する Azure ベスト プラクティスの推奨事項に注意してください。 たとえば、特定のリソース グループに新しいカタログを作成する必要があるビジネス ユーザーがいる場合は、標準の Azure 所有者ロールではなく、リソース グループのそのユーザーに Azure Sphere 所有者ロールを割り当てることをお勧めします。 Azure Sphere 所有者ロールを使用すると、ユーザーはグループ内に Azure Sphere カタログ リソースのみを作成し、そのグループの他のユーザーにのみ Azure Sphere 固有の RBAC ロールを割り当てることができますが、Azure 所有者ロールを使用すると、ユーザーは Cosmos DB やマルチコア仮想マシンなどの任意の種類の Azure リソースを作成できます。 リソース グループ内の任意のユーザーに任意の種類の Azure リソースの RBAC ロールを割り当てます。
詳細については、「 Azure RBAC のスコープについて」を参照してください。
Azure Sphere リソースに Azure General 組み込みロールを使用するかどうかを判断する場合は、次の考慮事項を考慮してください。
| ロール名 | アクセス 許可 | 考慮事項と注意 |
|---|---|---|
| リーダー | N/a | Azure Sphere リソースの固有の性質上、このロールは Azure Sphere リソースでは期待どおりに機能しないため、代わりに Azure Sphere Reader ロールを使用することを強くお勧めします。 |
| 貢献 | すべてのリソースを管理するためのフル アクセスを許可しますが、Azure RBAC でロールを割り当てられない | 特にサブスクリプションまたはリソース グループにロールを割り当てる場合は、代わりに Azure Sphere 共同作成者 ロールを使用することをお勧めします。 共同作成者 ロールのユーザーには、サブスクリプションまたはリソース グループに任意の種類の Azure リソースを追加および管理できる、非常に広範なアクセス許可があります。 |
| 所有者 | 共同作成者 + RBAC ユーザー管理 | 特にサブスクリプションまたはリソース グループにロールを割り当てる場合は、代わりに Azure Sphere 所有者 ロールを使用することをお勧めします。 所有者 ロール ユーザーには最高のアクセス許可が設定され、RBAC ユーザー管理を含むすべてのユーザー機能にアクセスできます。 |
警告
警告! Azure Sphere リソースへの読み取り専用アクセス許可を必要とするユーザーの場合は、標準 の Azure 閲覧者 ロールではなく、事前に構築された Azure Sphere Reader ロールを割り当てることを強くお勧めします。 Azure Sphere リソース階層内のレベルの数と、Azure RBAC がアクセス許可を管理する方法により、ユーザーがデバイス グループとデバイスを表示しようとすると、Azure 閲覧者 ロールは期待どおりに機能しません。
標準の Azure 閲覧者 アクセス許可を持つユーザーは、左側のメニューの [製品] ボタンをクリックすると、カタログを表示し、カタログの 製品 を表示できます。 また、標準 の閲覧者 ユーザーは、親製品のデバイス グループの一覧から直接デバイス グループを表示および選択し、親デバイス グループのデバイス一覧からデバイスを選択することもできます。ただし、左側のメニューの [デバイス グループ] ボタンまたは [ デバイス ] ボタンをクリックすると、エラーが発生します。