Defender for IoT ファームウェア分析のための Azure ロールベースのアクセス制御の概要
Defender for IoT Firmware Analysis のユーザーである場合、自分のファームウェア イメージの分析結果に対するアクセスを管理したい場合があります。 Azure ロールベースのアクセス制御 (RBAC) は、自分の分析結果にアクセスできるユーザー、その有しているアクセス許可、リソース階層のレベルを制御できる認可システムです。 この記事では、ファームウェア分析結果を Azure に格納し、アクセス許可を管理し、RBAC を使ってこれらの結果を組織内やサード パーティと共有する方法について説明します。 Azure RBAC の詳細については、「Azure ロールベースのアクセス制御 (Azure RBAC) とは」を参照してください。
ロール
ロールは、まとめてパッケージ化された複数のアクセス許可のコレクションです。 ロールには次の 2 種類があります。
- 職務権限ロールは、Key Vault 共同作成者や Azure Kubernetes Service クラスター監視ユーザーなど、特定の職務権限またはタスクを実行するアクセス許可をユーザーに付与します。
- 特権管理者ロールは、所有者、共同作成者、またはユーザー アクセス管理者などの昇格された特権を付与します。 ロールの詳細については、「Azure 組み込みロール」を参照してください。
Defender for IoT Firmware Analysis で最も一般的なロールは、所有者、共同作成者、セキュリティ管理者、Firmware Analysis 管理者です。ファームウェア イメージのアップロードやファームウェア分析結果の共有など、詳細については、さまざまなアクセス許可に必要なロールに関するセクションを参照してください。
Azure リソース階層に表示されるファームウェア イメージの表現の概要
Azure では、リソースをトップダウン構造のリソース階層に整理し、階層の各レベルでロールを割り当てることができます。 ロールを割り当てるレベルは "スコープ" です。また、下位のスコープは、上位のスコープで割り当てられたロールを継承できます。 詳細については、階層レベルと階層内でリソースを整理する方法に関する記事を参照してください。
Defender for IoT Firmware Analysis にサブスクリプションをオンボードし、リソース グループを選択すると、このアクションによってリソース グループ内に default リソースが自動的に作成されます。
そのリソース グループに移動し、[非表示の種類を表示] を選択して default リソースを表示します。 default リソースの種類は Microsoft.IoTFirmwareDefense.workspaces です。
!['default' という名前のリソースを表示するトグル ボタン [非表示の種類を表示] のスクリーンショット。](media/defender-for-iot-firmware-analysis-rbac/default-workspace.png#lightbox)
既定のワークスペース リソースは定期的に操作するものではありませんが、アップロードする各ファームウェア イメージはリソースとして表現され、ここに格納されます。
RBAC は、非表示の既定の Firmware Analysis ワークスペース リソース レベルなど、階層の各レベルで使用できます。
Defender for IoT Firmware Analysis のリソース階層を次に示します。
Azure RBAC を適用する
Note
Defender for IoT Firmware Analysis を使い始めるには、Defender for IoT Firmware Analysis にサブスクリプションをオンボードするユーザーが、サブスクリプション レベルで所有者、共同作成者、Firmware Analysis 管理者、またはセキュリティ管理者である必要があります。 Microsoft Defender for IoT を使ってファームウェア イメージを分析する方法のチュートリアルに従って、サブスクリプションをオンボードします。 サブスクリプションをオンボードすると、ユーザーは Firmware Analysis 管理者になるだけで Defender for IoT Firmware Analysis を使用できます。
Defender for IoT Firmware Analysis ユーザーは、状況に応じて組織に対して特定のアクション (ファームウェア イメージのアップロードや分析結果の共有など) を実行する必要があります。
このようなアクションには、ロールベースのアクセス制御 (RBAC) が必要です。 Defender for IoT Firmware Analysis に RBAC を効果的に使うには、ロールの割り当てとそのスコープを把握する必要があります。 この情報を把握すると、自分がどのアクセス許可を持っているか、また、その結果として特定のアクションを実行できるかどうかがわかります。 ロールの割り当てを確認するには、「単一の Azure リソースに対するユーザーのアクセス権を確認する - Azure RBAC」を参照してください。 次に、以下の表を参照して、特定のアクションに必要なロールとスコープを確認します。
Defender for IoT Firmware Analysis の一般的なロール
この表では、各ロールを分類し、そのアクセス許可について簡単に説明しています。
| Role | カテゴリ | 説明 |
|---|---|---|
| 所有者 | 特権管理者ロール | Azure RBAC でロールを割り当てる権限を含め、すべてのリソースを管理するためのフル アクセスを付与します。 |
| Contributor | 特権管理者ロール | すべてのリソースを管理するためのフル アクセスが付与されますが、Azure RBAC でロールを割り当てたり、Azure Blueprints で割り当てを管理したり、イメージ ギャラリーを共有したりすることはできません。 |
| Security Admin | 職務権限ロール | ユーザーは、Defender for IoT でファームウェア イメージをアップロードして分析し、セキュリティ イニシアティブを追加または割り当て、セキュリティ ポリシーを編集できるようになります。 詳細情報。 |
| Firmware Analysis 管理者 | 職務権限ロール | ユーザーは Defender for IoT でファームウェア イメージをアップロードし、分析できるようになります。 ユーザーはファームウェア分析以外のアクセス権を持ちません (サブスクリプション内の他のリソースにアクセスする、リソースを作成または削除する、または他のユーザーを招待することはできません)。 |
Defender for IoT Firmware Analysis のロール、スコープ、機能
次の表は、特定のアクションを実行するために必要なロールをまとめたものです。 特に明記されていない限り、これらのロールとアクセス許可はサブスクリプション レベルとリソース グループ レベルで適用されます。
| 操作 | 必要なロール |
|---|---|
| ファームウェアを分析する | 所有者、共同作成者、セキュリティ管理者、または Firmware Analysis 管理者 |
| サード パーティ ユーザーがファームウェアの分析結果を表示できるように招待する | Owner |
| ユーザーをサブスクリプションに招待する | サブスクリプション レベルの所有者 (リソース グループ レベルの所有者はユーザーをサブスクリプションに招待できません) |
ファームウェア イメージのアップロード
ファームウェア イメージをアップロードするには:
- 「Defender for IoT Firmware Analysis のロール、スコープ、機能」で、自分に十分なアクセス許可があることを確認します。
- 分析用のファームウェア イメージをアップロードします。
サード パーティがファームウェアの分析結果を操作できるように招待する
組織の他の部分 (サブスクリプション内の他のリソース グループなど) へのアクセスを許可することなく、誰かがファームウェア分析結果のみを操作できるように招待したい場合があります。 このようなアクセスを許可するには、リソース グループ レベルでユーザーを Firmware Analysis 管理者として招待します。
サード パーティを招待するには、「Azure ポータルを使用して外部ゲスト ユーザーに Azure ロールを割り当てる」チュートリアルに従ってください。
- 手順 3 で、リソース グループに移動します。
- 手順 7 で、Firmware Analysis 管理者ロールを選びます。
Note
組織に参加するためのメールを受け取って、受信トレイに招待メールが表示されない場合は、迷惑メール フォルダーを確認してください。