Azure ロールの割り当て条件の前提条件

Azure ロールの割り当て条件を追加または編集するには、次の前提条件が必要です。

ストレージ アカウント

BLOB インデックス タグを使用する条件の場合は、BLOB インデックス機能と互換性のあるストレージ アカウントを使用する必要があります。 たとえば、階層型名前空間 (HNS) が無効になっている General Purpose v2 (GPv2) ストレージ アカウントだけが現在サポートされています。 詳細については、「BLOB インデックス タグを使用して Azure BLOB データを管理および検索する」を参照してください

Azure PowerShell

Azure PowerShell を使用して条件を追加または更新する場合は、次のバージョンを使用する必要があります。

• Az モジュール 5.5.0 以降
• Az.Resources モジュール 3.2.1 以降
  • Az モジュール v5.5.0 以降に含まれていますが、PowerShell ギャラリーを使用して手動でインストールできます
• Az.Storage プレビュー モジュール 2.5.2-preview 以降

Azure CLI

Azure CLI を使用して条件を追加または更新する場合は、次のバージョンを使用する必要があります。

• Azure CLI 2.18 以降

REST API

REST API を使用して条件を追加または更新する場合は、次のバージョンを使用する必要があります。

• 2020-03-01-preview 以降
• ロール割り当てに description プロパティを活用する場合、2020-04-01-preview 以降
• 2022-04-01 は最初の安定版です

詳細については、Azure RBAC REST API の API バージョンに関するページを参照してください。

アクセス許可

ロールの割り当てと同様に、条件を追加または更新するには、ロールベースのアクセス制御管理者など、Microsoft.Authorization/roleAssignments/write および Microsoft.Authorization/roleAssignments/delete アクセス許可を持つユーザーで Azure にサインインする必要があります。

プリンシパル属性

プリンシパル属性 (Microsoft Entra ID のカスタム セキュリティ属性) を使うには、次のものが必要です。

• 属性セットまたはテナント スコープでの属性割り当て管理者
• Microsoft Entra ID で定義されているカスタム セキュリティ属性

カスタム セキュリティ属性の詳細については、以下を参照してください。

• 属性ソースにプリンシパルが表示されない
• Microsoft Entra ID でカスタム セキュリティ属性を追加または非アクティブ化する

環境属性

プライベート エンドポイント属性を使うには、サブスクリプションに少なくとも 1 つのプライベート エンドポイントが構成されている必要があります。

Subnet 属性を使うには、サブスクリプションにサービス エンドポイントを使う仮想ネットワーク サブネットが少なくとも 1 つ構成されている必要があります。

次のステップ

• Blob Storage での Azure ロールの割り当て条件の例
• チュートリアル: Azure portal でロールの割り当ての条件を追加して BLOB へのアクセスを制限する