Microsoft.Authorization roleAssignments
Bicep リソース定義
roleAssignments リソースの種類は 拡張機能リソースであり、別のリソースに適用できることを意味します。
このリソースの スコープを scope 設定するには、このリソースの プロパティを使用します。 「Bicep で拡張機能リソースのスコープを設定する」を参照してください。
roleAssignments リソースの有効なデプロイ スコープは次のとおりです。
- リソース グループ - リソース グループのデプロイ コマンドに関するページを参照してください
- サブスクリプション - サブスクリプションのデプロイ コマンドに関するページを参照してください
- 管理グループ - 管理グループの展開コマンドに関するページを参照してください
- テナント - テナントのデプロイ コマンドに関するページを参照してください
各 API バージョンの変更されたプロパティの一覧については、「 変更ログ」を参照してください。
注釈
ロールの割り当てと定義の作成に関するガイダンスについては、「 Bicep を使用して Azure RBAC リソースを作成する」を参照してください。
リソース形式
Microsoft.Authorization/roleAssignments リソースを作成するには、次の Bicep をテンプレートに追加します。
resource symbolicname 'Microsoft.Authorization/roleAssignments@2022-04-01' = {
name: 'string'
scope: resourceSymbolicName or tenant()
properties: {
condition: 'string'
conditionVersion: 'string'
delegatedManagedIdentityResourceId: 'string'
description: 'string'
principalId: 'string'
principalType: 'string'
roleDefinitionId: 'string'
}
}
プロパティ値
roleAssignments
| 名前 | 説明 | 値 |
|---|---|---|
| name | リソース名 | string (必須) 文字数制限: 36 有効な文字: グローバル一意識別子 (GUID) である必要があります。 リソース名はテナント間で一意である必要があります。 |
| scope | デプロイ スコープとは異なるスコープで拡張機能リソースを作成する場合に使用します。 | ターゲット リソース Bicep の場合は、このプロパティをリソースのシンボリック名に設定して 、拡張機能リソースを適用します。 このリソースの種類は、テナントにも適用できます。 Bicep の場合は、 を使用します tenant()。 |
| properties | ロールの割り当てプロパティ。 | RoleAssignmentProperties (必須) |
RoleAssignmentProperties
| 名前 | 説明 | 値 |
|---|---|---|
| condition | ロールの割り当てに関する条件。 これにより、割り当て可能なリソースが制限されます。例: @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container' | string |
| conditionVersion | 条件のバージョン。 現在、受け入れられる値は '2.0' のみです | string |
| delegatedManagedIdentityResourceId | 委任されたマネージド ID リソースの ID | string |
| description | ロールの割り当ての説明 | string |
| principalId | プリンシパル ID。 | string (必須) |
| principalType | 割り当てられたプリンシパル ID のプリンシパルの種類。 | 'Device' 'ForeignGroup' 'Group' 'ServicePrincipal' 'User' |
| roleDefinitionId | ロール定義 ID | string (必須) |
クイック スタート テンプレート
次のクイックスタート テンプレートでは、このリソースの種類をデプロイします。
| Template | 説明 |
|---|---|
Darktrace Autoscaling vSensors をデプロイする |
このテンプレートを使用すると、Darktrace vSensors の自動スケーリング デプロイをデプロイできます |
| BrowserBox Azure Edition |
このテンプレートは、Azure Ubuntu Server 22.04 LTS、Debian 11、または RHEL 8.7 LVM VM に BrowserBox をデプロイします。 |
| ヘーゼルキャスト クラスター |
ヘーゼルキャストは、さまざまなデータ アプリケーションに使用できるメモリ内データ プラットフォームです。 このテンプレートは任意の数のヘーゼルキャストノードをデプロイし、自動的に検出します。 |
| Azure 上の IBM Cloud Pak for Data |
このテンプレートは、必要なすべてのリソースとインフラストラクチャを含む Openshift クラスターを Azure にデプロイし、ユーザーが選択したアドオンと共に IBM Cloud Pak for Data をデプロイします。 |
| Azure Gateway の min.io |
Blob Storage によってサポートされる S3 準拠ストレージ API を提供するための完全プライベート min.io Azure Gateway デプロイ |
| SAP ILM ストアのストレージ アカウントをデプロイする |
Microsoft Azure Storage アカウントを ILM ストアとして使用して、SAP ILM システムからアーカイブ ファイルと添付ファイルを保持できるようになりました。 ILM ストアは、SAP ILM 準拠ストレージ システムの要件を満たすコンポーネントです。 SAP ILM 保持管理ルールを使用しながら、WebDAV インターフェイス標準を使用してアーカイブ ファイルをストレージ メディアに格納できます。 SAP ILM ストアの詳細については、 SAP ヘルプ ポータル を参照してください。 |
| WordPress サイトの作成 |
このテンプレートは、コンテナー インスタンスに WordPress サイトを作成します |
| NAT ゲートウェイとApplication Gatewayを備えた AKS クラスター |
このサンプルでは、送信接続用の NAT ゲートウェイと受信接続用のApplication Gatewayを使用して AKS クラスターをデプロイする方法を示します。 |
| Azure Cloud Shell - VNet |
このテンプレートは、Azure Cloud Shell リソースを Azure 仮想ネットワークにデプロイします。 |
| Azure Image Builder と Azure Windows ベースライン |
Azure Image Builder 環境を作成し、最新の Windows 更新と Azure Windows ベースラインが適用された Windows Server イメージを構築します。 |
| パブリック DNS ゾーンを使用してプライベート AKS クラスターを作成する |
このサンプルでは、パブリック DNS ゾーンを使用してプライベート AKS クラスターをデプロイする方法を示します。 |
| Azure アーキテクチャで Sports Analytics をデプロイする |
ADLS Gen 2 が有効な Azure ストレージ アカウント、ストレージ アカウント (デプロイされている場合はAzure SQL Database) のリンクされたサービスを持つAzure Data Factory インスタンス、および Azure Databricks インスタンスを作成します。 テンプレートをデプロイするユーザーの AAD ID と ADF インスタンスのマネージド ID には、ストレージ アカウントに対するストレージ BLOB データ共同作成者ロールが付与されます。 また、Azure Key Vault インスタンス、Azure SQL Database、Azure Event Hub (ストリーミング ユース ケース用) をデプロイするオプションもあります。 Azure Key Vaultがデプロイされると、テンプレートをデプロイするユーザーのデータ ファクトリマネージド ID と AAD ID に、Key Vault シークレット ユーザー ロールが付与されます。 |
| ZIP アーカイブ URL から VHD BLOB をインポートする |
特殊化されたディスク イメージに基づいてVirtual Machinesをデプロイするには、VHD ファイルをストレージ アカウントにインポートする必要があります。 1 つの ZIP で圧縮された複数の VHD ファイルがあり、ZIP アーカイブをフェッチするための URL を取得した場合、この ARM テンプレートを使用すると、既存のストレージ アカウント BLOB コンテナーへのダウンロード、抽出、インポートというジョブが容易になります。 |
| ユーザー割り当てマネージド ID とロールの割り当てを作成する |
このモジュールでは、ユーザー割り当てマネージド ID と、リソース グループをスコープとするロールの割り当てを作成できます。 |
| KeyVault から SSL を使用してAPI Management サービスを作成する |
このテンプレートは、ユーザー割り当て ID で構成されたAPI Management サービスをデプロイします。 この ID を使用して KeyVault から SSL 証明書をフェッチし、4 時間ごとに確認することで更新を維持します。 |
| レジストリを使用してコンテナー アプリと環境を作成します |
Azure Container Registryから基本的なコンテナー アプリを使用してコンテナー アプリ環境を作成します。 また、ログを格納する Log Analytics ワークスペースもデプロイします。 |
| Container Apps を使用して Dapr pub-sub servicebus アプリを作成します |
Container Apps を使用して Dapr pub-sub servicebus アプリを作成します。 |
| 単純な Azure Spring Apps マイクロサービス アプリケーションをデプロイする |
このテンプレートでは、Azure で実行する単純な Azure Spring Apps マイクロサービス アプリケーションをデプロイします。 |
| RBAC - リソース グループ内の複数の既存の VM に対して組み込みロール アクセスを付与する |
このテンプレートは、リソース グループ内の複数の既存の VM に適用可能なロール ベースのアクセス権を付与します |
| RBAC ロールをリソース グループに割り当てる |
このテンプレートは、所有者、閲覧者、または共同作成者のアクセス権を既存のリソース グループに割り当てます。 |
| RBAC - 既存の VM |
このテンプレートは、リソース グループ内の既存の VM への適用可能なロール ベースのアクセス権を付与します |
| RBAC - Azure Maps アカウントでマネージド ID アクセスを作成する |
このテンプレートは、マネージド ID を作成し、作成されたAzure Maps アカウントにアクセス権を割り当てます。 |
| Azure ビジネス継続性項目のアラート ルールを作成する |
このテンプレートでは、アラート ルールとユーザー割り当て MSI が作成されます。 また、MSI 閲覧者アクセス権がサブスクリプションに割り当てられるため、アラート ルールは、必要な保護された項目と最新の復旧ポイントの詳細に対してクエリを実行するアクセス権を持つ必要があります。 |
| Front Door Standard/Premium と静的 Web サイトの配信元 |
このテンプレートは、Front Door Standard/Premium と Azure Storage 静的 Web サイトを作成し、静的 Web サイトにトラフィックを送信するように Front Door を構成します。 |
| MSI を使用して Linux または Windows VM をデプロイする |
このテンプレートを使用すると、マネージド サービス ID を使用して Linux または Windows VM をデプロイできます。 |
| Azure での Terraform |
このテンプレートを使用すると、MSI を使用して Terraform ワークステーションを Linux VM としてデプロイできます。 |
| 永続ストレージを使用してオンデマンド SFTP サーバーを作成する |
このテンプレートは、Azure Container Instance (ACI) を使用するオンデマンド SFTP サーバーを示しています。 |
| 新しい Datadog 組織を作成する |
このテンプレートにより、サブスクリプション内のリソースを監視するための新しい Datadog - Azure Native ISV Service リソースと Datadog organizationが作成されます。 |
| Backup Vault を使用して保護を有効にするディスク & 作成する |
ディスクを作成し、Backup Vault による保護を有効にするテンプレート |
| ストレージ アカウントを作成 & Backup Vault 経由で保護を有効にする |
ストレージ アカウントを作成し、Backup Vault による保護を有効にするテンプレート |
| ストレージ アカウントからデータ共有を作成する |
このテンプレートは、ストレージ アカウントからデータ共有を作成します |
| 組み込みのイメージを使用して Dev Box Service をデプロイする |
このテンプレートは、組み込みのイメージを使用して Dev Box サービスをデプロイする方法を提供します。 |
| Dev Box サービスを構成する |
このテンプレートでは、Dev Box クイック スタート ガイドに従って、すべての Dev Box 管理リソースが作成されます。 作成されたすべてのリソースを表示することも、DevPortal.microsoft.com に直接移動して最初の Dev Box を作成することもできます。 |
| 関数とPrivate Link サービスを使用した Azure Digital Twins |
このテンプレートは、Private Link エンドポイントを介して Digital Twins と通信できる、Virtual Network接続された Azure 関数で構成された Azure Digital Twins サービスを作成します。 また、プライベート DNS ゾーンを作成して、Virtual Networkからプライベート エンドポイントの内部サブネット IP アドレスへの Digital Twins エンドポイントのシームレスなホスト名解決を可能にします。 ホスト名は、"ADT_ENDPOINT" という名前の Azure 関数の設定として格納されます。 |
| 時間データ履歴接続を使用した Azure Digital Twins |
このテンプレートは、時系列データ履歴接続で構成された Azure Digital Twins インスタンスを作成します。 接続を作成するには、Event Hubs 名前空間、イベント ハブ、Azure Data Explorer クラスター、データベースなどの他のリソースを作成する必要があります。 データはイベント ハブに送信され、最終的には Azure Data Explorer クラスターにデータが転送されます。 データはクラスター内のデータベース テーブルに格納されます |
| MedTech サービスをデプロイする |
MedTech サービスは、複数のデバイスからデバイス データを取り込み、デバイス データを FHIR Observations に変換し、Azure Health Data Services FHIR サービスに永続化するように設計された Azure Health Data Services の 1 つです。 |
| Azure IoT Hubを含む MedTech サービスをデプロイする |
MedTech サービスは、複数のデバイスからデバイス データを取り込み、デバイス データを FHIR Observations に変換し、Azure Health Data Services FHIR サービスに永続化するように設計された Azure Health Data Services の 1 つです。 |
| RBAC とシークレットを使用して Azure Key Vaultを作成する |
このテンプレートでは、Azure Key Vaultとシークレットを作成します。 アクセス ポリシーに依存する代わりに、Azure RBAC を利用してシークレットの承認を管理します |
| キー コンテナー、マネージド ID、ロールの割り当てを作成する |
このテンプレートでは、キー コンテナー、マネージド ID、ロールの割り当てを作成します。 |
| Helm を使用した Azure Container Service (AKS) |
Helm を使用して Azure Container Service (AKS) を使用してマネージド クラスターをデプロイする |
| Cosmos DB 接続を使用して Azure Data Explorer DB をデプロイする |
Cosmos DB 接続を使用して Azure Data Explorer DB をデプロイします。 |
| Event Hub 接続を使用して Azure Data Explorer db をデプロイする |
Event Hub 接続を使用して Azure Data Explorer db をデプロイします。 |
| ユーザー割り当て ID ロールの割り当てテンプレート |
Azure Machine Learning ワークスペースが依存するリソースに対してユーザー割り当て ID のロールの割り当てを作成するテンプレート |
| Azure Key Vault Azure Maps格納されている SAS トークンを作成する |
このテンプレートは、アカウントをデプロイしてAzure Mapsし、Azure Key Vault シークレットに格納する指定されたユーザー割り当て ID に基づいて Sas トークンを一覧表示します。 |
| Application Gateway イングレス コントローラーを使用する AKS クラスター |
このサンプルでは、Application Gateway、Application Gateway イングレス コントローラー、Azure Container Registry、Log Analytics、Key Vaultを使用して AKS クラスターをデプロイする方法を示します |
| ハブ & スポーク トポロジで dns プロキシとしてAzure Firewallを使用する |
このサンプルでは、Azure Firewallを使用して Azure にハブスポーク トポロジをデプロイする方法を示します。 ハブ仮想ネットワークは、仮想ネットワーク ピアリングを介してハブ仮想ネットワークに接続されている多くのスポーク仮想ネットワークへの接続の中心点として機能します。 |
| ACR タスクを使用してコンテナー イメージをビルドする |
このテンプレートでは、DeploymentScript を使用して ACR を調整し、コード リポジトリからコンテナー イメージをビルドします。 |
| コンテナー イメージを ACR にインポートする |
このテンプレートでは、bicep レジストリから ACR モジュールをインポートして、パブリック コンテナー イメージをAzure Container Registryにインポートします。 |
| 証明書を使用してApplication Gatewayを作成する |
このテンプレートでは、自己署名証明書Key Vault生成してから、Application Gatewayから参照する方法を示します。 |
| ssh-keys を作成し、KeyVault に格納する |
このテンプレートでは、deploymentScript リソースを使用して ssh キーを生成し、秘密キーを keyVault に格納します。 |
| 監査が BLOB ストレージに書き込まれたAzure SQL サーバー |
このテンプレートを使用すると、監査が有効になっているAzure SQL サーバーをデプロイして、監査ログを BLOB ストレージに書き込むことができます |
| 静的 Web サイトをデプロイします |
バッキング ストレージ アカウントを使用して静的 Web サイトをデプロイします |
| Azure Synapse 概念実証 |
このテンプレートは、SQL プールやオプションの Apache Spark プールなど、Azure Synapseの概念実証環境を作成します |
| イベント ハブとマネージド ID を使用した Azure 関数アプリ |
彼のテンプレートは、Event Hub、Azure Storage、Application Insights と共に、Linux 従量課金プランに Azure 関数アプリをプロビジョニングします。 関数アプリは、マネージド ID を使用してイベント ハブとストレージ アカウントに接続できます |
| マネージド ID、SQL Server、ΑΙ を使用した Web アプリ |
アプリ用の Azure インフラストラクチャをデプロイする簡単な例 + データ + マネージド ID + 監視 |
| Azure Native New Relic リソースを作成する |
このテンプレートでは、Azure サブスクリプション内のリソースを監視するための "Azure Native New Relic Service" を設定します。 |
| resourceGroup を作成し、ロックと RBAC を適用する |
このテンプレートは、resourceGroup を作成し、resourceGroup をロックし、指定された principalId に共同作成者のパームションを割り当てるサブスクリプション レベルのテンプレートです。 現時点では、このテンプレートは Azure Portal を使用してデプロイすることはできません。 |
| Azure Virtual Network Manager とサンプル VNET を作成する |
このテンプレートは、Azure Virtual Network Manager とサンプル仮想ネットワークを名前付きリソース グループにデプロイします。 複数の接続トポロジとネットワーク グループ メンバーシップの種類がサポートされています。 |
| サブスクリプション スコープでロールを割り当てる |
このテンプレートは、サブスクリプション スコープでロールを割り当てるサブスクリプション レベルのテンプレートです。 |
| テナント スコープでロールを割り当てる |
このテンプレートは、テナント スコープで指定されたプリンシパルにロールを割り当てるテナント レベルのテンプレートです。 テンプレートをデプロイするユーザーには、テナント スコープで所有者ロールが既に割り当てられている必要があります。 |
ARM テンプレート リソース定義
roleAssignments リソースの種類は 拡張機能リソースであり、別のリソースに適用できることを意味します。
このリソースの スコープを scope 設定するには、このリソースの プロパティを使用します。 「ARM テンプレートで拡張機能リソースのスコープを設定する」を参照してください。
roleAssignments リソースの有効なデプロイ スコープは次のとおりです。
- リソース グループ - リソース グループのデプロイ コマンドに関するページを参照してください
- サブスクリプション - サブスクリプションのデプロイ コマンドに関するページを参照してください
- 管理グループ - 管理グループの展開コマンドに関するページを参照してください
- テナント - テナントのデプロイ コマンドに関するページを参照してください
各 API バージョンの変更されたプロパティの一覧については、「 変更ログ」を参照してください。
注釈
ロールの割り当てと定義の作成に関するガイダンスについては、「 Bicep を使用して Azure RBAC リソースを作成する」を参照してください。
リソース形式
Microsoft.Authorization/roleAssignments リソースを作成するには、次の JSON をテンプレートに追加します。
{
"type": "Microsoft.Authorization/roleAssignments",
"apiVersion": "2022-04-01",
"name": "string",
"scope": "string" or "/",
"properties": {
"condition": "string",
"conditionVersion": "string",
"delegatedManagedIdentityResourceId": "string",
"description": "string",
"principalId": "string",
"principalType": "string",
"roleDefinitionId": "string"
}
}
プロパティ値
roleAssignments
| 名前 | 説明 | 値 |
|---|---|---|
| type | リソースの種類 | 'Microsoft.Authorization/roleAssignments' |
| apiVersion | リソース API のバージョン | '2022-04-01' |
| name | リソース名 | string (必須) 文字数制限: 36 有効な文字: グローバル一意識別子 (GUID) である必要があります。 リソース名はテナント間で一意である必要があります。 |
| scope | デプロイ スコープとは異なるスコープで拡張機能リソースを作成する場合に使用します。 | ターゲット リソース JSON の場合は、 拡張 リソースを適用するリソースの完全な名前に値を設定します。 このリソースの種類は、テナントにも適用できます。 JSON の場合は、 を使用します "/"。 |
| properties | ロールの割り当てプロパティ。 | RoleAssignmentProperties (必須) |
RoleAssignmentProperties
| 名前 | 説明 | 値 |
|---|---|---|
| condition | ロールの割り当てに関する条件。 これにより、割り当て可能なリソースが制限されます。例: @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container' | string |
| conditionVersion | 条件のバージョン。 現在、受け入れられる値は '2.0' のみです | string |
| delegatedManagedIdentityResourceId | 委任されたマネージド ID リソースの ID | string |
| description | ロールの割り当ての説明 | string |
| principalId | プリンシパル ID。 | string (必須) |
| principalType | 割り当てられたプリンシパル ID のプリンシパルの種類。 | 'Device' 'ForeignGroup' 'Group' 'ServicePrincipal' 'User' |
| roleDefinitionId | ロール定義 ID | string (必須) |
クイック スタート テンプレート
次のクイックスタート テンプレートでは、このリソースの種類をデプロイします。
| Template | 説明 |
|---|---|
| Darktrace Autoscaling vSensors をデプロイする |
このテンプレートを使用すると、Darktrace vSensors の自動スケーリング デプロイをデプロイできます |
| BrowserBox Azure Edition |
このテンプレートは、Azure Ubuntu Server 22.04 LTS、Debian 11、または RHEL 8.7 LVM VM に BrowserBox をデプロイします。 |
| ヘーゼルキャスト クラスター |
ヘーゼルキャストは、さまざまなデータ アプリケーションに使用できるメモリ内データ プラットフォームです。 このテンプレートは任意の数のヘーゼルキャストノードをデプロイし、自動的に検出します。 |
| Azure 上の IBM Cloud Pak for Data |
このテンプレートは、必要なすべてのリソースとインフラストラクチャを含む Openshift クラスターを Azure にデプロイし、ユーザーが選択したアドオンと共に IBM Cloud Pak for Data をデプロイします。 |
| Azure Gateway の min.io |
Blob Storage によってサポートされる S3 準拠ストレージ API を提供するための完全プライベート min.io Azure Gateway デプロイ |
| SAP ILM ストアのストレージ アカウントをデプロイする |
Microsoft Azure Storage アカウントを ILM ストアとして使用して、SAP ILM システムからアーカイブ ファイルと添付ファイルを保持できるようになりました。 ILM ストアは、SAP ILM 準拠ストレージ システムの要件を満たすコンポーネントです。 SAP ILM 保持管理ルールを使用しながら、WebDAV インターフェイス標準を使用してアーカイブ ファイルをストレージ メディアに格納できます。 SAP ILM ストアの詳細については、 SAP ヘルプ ポータル を参照してください。 |
| WordPress サイトの作成 |
このテンプレートは、コンテナー インスタンスに WordPress サイトを作成します |
| NAT ゲートウェイとApplication Gatewayを備えた AKS クラスター |
このサンプルでは、送信接続用の NAT ゲートウェイと受信接続用のApplication Gatewayを使用して AKS クラスターをデプロイする方法を示します。 |
| Azure Cloud Shell - VNet |
このテンプレートは、Azure Cloud Shell リソースを Azure 仮想ネットワークにデプロイします。 |
| Azure Windows ベースラインを使用した Azure Image Builder |
Azure Image Builder 環境を作成し、最新の Windows 更新と Azure Windows ベースラインが適用された Windows Server イメージをビルドします。 |
| パブリック DNS ゾーンを使用してプライベート AKS クラスターを作成する |
このサンプルでは、パブリック DNS ゾーンを使用してプライベート AKS クラスターをデプロイする方法を示します。 |
| Azure アーキテクチャに Sports Analytics をデプロイする |
ADLS Gen 2 が有効になっている Azure ストレージ アカウント、ストレージ アカウント (デプロイされている場合は Azure SQL Database) のリンクされたサービスを持つAzure Data Factory インスタンス、および Azure Databricks インスタンスを作成します。 テンプレートをデプロイするユーザーの AAD ID と ADF インスタンスのマネージド ID には、ストレージ アカウントに対するストレージ BLOB データ共同作成者ロールが付与されます。 また、Azure Key Vault インスタンス、Azure SQL Database、Azure Event Hub (ストリーミングユース ケース用) をデプロイするオプションもあります。 Azure Key Vaultがデプロイされると、テンプレートをデプロイするユーザーのデータ ファクトリマネージド ID と AAD ID に、Key Vault シークレット ユーザー ロールが付与されます。 |
| ZIP アーカイブ URL から VHD BLOB をインポートする |
特殊化されたディスク イメージに基づいてVirtual Machinesをデプロイするには、VHD ファイルをストレージ アカウントにインポートする必要があります。 1 つの ZIP で圧縮された複数の VHD ファイルがあり、ZIP アーカイブをフェッチするための URL を取得した場合、この ARM テンプレートを使用すると、既存のストレージ アカウント BLOB コンテナーへのダウンロード、抽出、インポートというジョブが容易になります。 |
| ユーザー割り当てマネージド ID とロールの割り当てを作成する |
このモジュールでは、ユーザー割り当てマネージド ID と、リソース グループをスコープとするロールの割り当てを作成できます。 |
| KeyVault から SSL を使用してAPI Management サービスを作成する |
このテンプレートは、ユーザー割り当て ID で構成されたAPI Management サービスをデプロイします。 この ID を使用して KeyVault から SSL 証明書をフェッチし、4 時間ごとに確認することで更新を維持します。 |
| レジストリを使用してコンテナー アプリと環境を作成します |
Azure Container Registryから基本的なコンテナー アプリを使用してコンテナー アプリ環境を作成します。 また、ログを格納する Log Analytics ワークスペースもデプロイします。 |
| Container Apps を使用して Dapr pub-sub servicebus アプリを作成します |
Container Apps を使用して Dapr pub-sub servicebus アプリを作成します。 |
| 単純な Azure Spring Apps マイクロサービス アプリケーションをデプロイする |
このテンプレートでは、Azure で実行する単純な Azure Spring Apps マイクロサービス アプリケーションをデプロイします。 |
| RBAC - リソース グループ内の複数の既存の VM に対して組み込みロール アクセスを付与する |
このテンプレートは、リソース グループ内の複数の既存の VM に適用可能なロール ベースのアクセス権を付与します |
| RBAC ロールをリソース グループに割り当てる |
このテンプレートは、所有者、閲覧者、または共同作成者のアクセス権を既存のリソース グループに割り当てます。 |
| RBAC - 既存の VM |
このテンプレートは、リソース グループ内の既存の VM への適用可能なロール ベースのアクセス権を付与します |
| RBAC - Azure Maps アカウントでマネージド ID アクセスを作成する |
このテンプレートは、マネージド ID を作成し、作成されたAzure Maps アカウントにアクセス権を割り当てます。 |
| Azure ビジネス継続性項目のアラート ルールを作成する |
このテンプレートでは、アラート ルールとユーザー割り当て MSI が作成されます。 また、MSI 閲覧者アクセス権がサブスクリプションに割り当てられるため、アラート ルールは、必要な保護された項目と最新の復旧ポイントの詳細に対してクエリを実行するアクセス権を持つ必要があります。 |
| Front Door Standard/Premium と静的 Web サイトの配信元 |
このテンプレートは、Front Door Standard/Premium と Azure Storage 静的 Web サイトを作成し、静的 Web サイトにトラフィックを送信するように Front Door を構成します。 |
| MSI を使用して Linux または Windows VM をデプロイする |
このテンプレートを使用すると、マネージド サービス ID を使用して Linux または Windows VM をデプロイできます。 |
| Azure での Terraform |
このテンプレートを使用すると、MSI を使用して Terraform ワークステーションを Linux VM としてデプロイできます。 |
| 永続ストレージを使用してオンデマンド SFTP サーバーを作成する |
このテンプレートは、Azure Container Instance (ACI) を使用するオンデマンド SFTP サーバーを示しています。 |
| 新しい Datadog 組織を作成する |
このテンプレートにより、サブスクリプション内のリソースを監視するための新しい Datadog - Azure Native ISV Service リソースと Datadog organizationが作成されます。 |
| Backup Vault を使用して保護を有効にするディスク & 作成する |
ディスクを作成し、Backup Vault による保護を有効にするテンプレート |
| ストレージ アカウントを作成 & Backup Vault 経由で保護を有効にする |
ストレージ アカウントを作成し、Backup Vault による保護を有効にするテンプレート |
| ストレージ アカウントからデータ共有を作成する |
このテンプレートは、ストレージ アカウントからデータ共有を作成します |
| 組み込みのイメージを使用して Dev Box Service をデプロイする |
このテンプレートは、組み込みのイメージを使用して Dev Box サービスをデプロイする方法を提供します。 |
| Dev Box サービスを構成する |
このテンプレートでは、Dev Box クイック スタート ガイドに従って、すべての Dev Box 管理リソースが作成されます。 作成されたすべてのリソースを表示することも、DevPortal.microsoft.com に直接移動して最初の Dev Box を作成することもできます。 |
| 関数とPrivate Link サービスを使用した Azure Digital Twins |
このテンプレートは、Private Link エンドポイントを介して Digital Twins と通信できる、Virtual Network接続された Azure 関数で構成された Azure Digital Twins サービスを作成します。 また、プライベート DNS ゾーンを作成して、Virtual Networkからプライベート エンドポイントの内部サブネット IP アドレスへの Digital Twins エンドポイントのシームレスなホスト名解決を可能にします。 ホスト名は、"ADT_ENDPOINT" という名前の Azure 関数の設定として格納されます。 |
| 時間データ履歴接続を使用した Azure Digital Twins |
このテンプレートは、時系列データ履歴接続で構成された Azure Digital Twins インスタンスを作成します。 接続を作成するには、Event Hubs 名前空間、イベント ハブ、Azure Data Explorer クラスター、データベースなどの他のリソースを作成する必要があります。 データはイベント ハブに送信され、最終的には Azure Data Explorer クラスターにデータが転送されます。 データはクラスター内のデータベース テーブルに格納されます |
| MedTech サービスをデプロイする |
MedTech サービスは、複数のデバイスからデバイス データを取り込み、デバイス データを FHIR 監視に変換し、Azure Health Data Services FHIR サービスに保持するように設計された Azure Health Data Services の 1 つです。 |
| Azure IoT Hubを含む MedTech サービスをデプロイする |
MedTech サービスは、複数のデバイスからデバイス データを取り込み、デバイス データを FHIR 監視に変換し、Azure Health Data Services FHIR サービスに保持するように設計された Azure Health Data Services の 1 つです。 |
| RBAC とシークレットを使用して Azure Key Vaultを作成する |
このテンプレートでは、Azure Key Vaultとシークレットが作成されます。 アクセス ポリシーに依存する代わりに、Azure RBAC を利用してシークレットの承認を管理します |
| キー コンテナー、マネージド ID、ロールの割り当てを作成する |
このテンプレートでは、キー コンテナー、マネージド ID、ロールの割り当てが作成されます。 |
| Helm を使用した Azure Container Service (AKS) |
Helm を使用して Azure Container Service (AKS) を使用してマネージド クラスターをデプロイする |
| Cosmos DB 接続を使用して Azure Data Explorer DB をデプロイする |
Cosmos DB 接続を使用して Azure Data Explorer DB をデプロイします。 |
| Event Hub 接続を使用して Azure Data Explorer db をデプロイする |
Event Hub 接続を使用して Azure Data Explorer db をデプロイします。 |
| ユーザー割り当て ID ロールの割り当てテンプレート |
Azure Machine Learning ワークスペースが依存するリソースに対してユーザー割り当て ID のロールの割り当てを作成するテンプレート |
| Azure Key Vault Azure Maps格納されている SAS トークンを作成する |
このテンプレートは、アカウントをデプロイしてAzure Mapsし、Azure Key Vault シークレットに格納する指定されたユーザー割り当て ID に基づいて Sas トークンを一覧表示します。 |
| Application Gateway イングレス コントローラーを使用する AKS クラスター |
このサンプルでは、Application Gateway、Application Gateway イングレス コントローラー、Azure Container Registry、Log Analytics、Key Vaultを使用して AKS クラスターをデプロイする方法を示します |
| ハブ & スポーク トポロジで dns プロキシとしてAzure Firewallを使用する |
このサンプルでは、Azure Firewallを使用して Azure にハブスポーク トポロジをデプロイする方法を示します。 ハブ仮想ネットワークは、仮想ネットワーク ピアリングを介してハブ仮想ネットワークに接続されている多くのスポーク仮想ネットワークへの接続の中心点として機能します。 |
| ACR タスクを使用してコンテナー イメージをビルドする |
このテンプレートでは、DeploymentScript を使用して ACR を調整し、コード リポジトリからコンテナー イメージをビルドします。 |
| コンテナー イメージを ACR にインポートする |
このテンプレートでは、bicep レジストリから ACR モジュールをインポートして、パブリック コンテナー イメージをAzure Container Registryにインポートします。 |
| 証明書を使用してApplication Gatewayを作成する |
このテンプレートでは、自己署名証明書Key Vault生成してから、Application Gatewayから参照する方法を示します。 |
| ssh-keys を作成し、KeyVault に格納する |
このテンプレートでは、deploymentScript リソースを使用して ssh キーを生成し、秘密キーを keyVault に格納します。 |
| 監査が BLOB ストレージに書き込まれたAzure SQL サーバー |
このテンプレートを使用すると、監査が有効になっているAzure SQL サーバーをデプロイして、監査ログを BLOB ストレージに書き込むことができます |
| 静的 Web サイトをデプロイします |
バッキング ストレージ アカウントを使用して静的 Web サイトをデプロイします |
| Azure Synapse 概念実証 |
このテンプレートは、SQL プールやオプションの Apache Spark プールなど、Azure Synapseの概念実証環境を作成します |
| イベント ハブとマネージド ID を使用した Azure 関数アプリ |
彼のテンプレートは、Event Hub、Azure Storage、Application Insights と共に、Linux 従量課金プランに Azure 関数アプリをプロビジョニングします。 関数アプリは、マネージド ID を使用してイベント ハブとストレージ アカウントに接続できます |
| マネージド ID、SQL Server、ΑΙ を使用した Web アプリ |
アプリ用の Azure インフラストラクチャをデプロイする簡単な例 + データ + マネージド ID + 監視 |
| Azure Native New Relic リソースを作成する |
このテンプレートでは、Azure サブスクリプション内のリソースを監視するための "Azure Native New Relic Service" を設定します。 |
| resourceGroup を作成し、ロックと RBAC を適用する |
このテンプレートは、resourceGroup を作成し、resourceGroup をロックし、指定された principalId に共同作成者のパームションを割り当てるサブスクリプション レベルのテンプレートです。 現時点では、このテンプレートは Azure Portal を使用してデプロイすることはできません。 |
| Azure Virtual Network Manager とサンプル VNET を作成する |
このテンプレートは、Azure Virtual Network Manager とサンプル仮想ネットワークを名前付きリソース グループにデプロイします。 複数の接続トポロジとネットワーク グループ メンバーシップの種類がサポートされています。 |
| サブスクリプション スコープでロールを割り当てる |
このテンプレートは、サブスクリプション スコープでロールを割り当てるサブスクリプション レベルのテンプレートです。 |
| テナント スコープでロールを割り当てる |
このテンプレートは、テナント スコープで指定されたプリンシパルにロールを割り当てるテナント レベルのテンプレートです。 テンプレートをデプロイするユーザーには、テナント スコープで所有者ロールが既に割り当てられている必要があります。 |
Terraform (AzAPI プロバイダー) リソース定義
roleAssignments リソースの種類は 拡張機能リソースであり、別のリソースに適用できることを意味します。
このリソースの スコープを parent_id 設定するには、このリソースの プロパティを使用します。
roleAssignments リソースの有効なデプロイ スコープは次のとおりです。
- リソース グループ
- サブスクリプション
- 管理グループ
- テナント
各 API バージョンの変更されたプロパティの一覧については、「 変更ログ」を参照してください。
リソース形式
Microsoft.Authorization/roleAssignments リソースを作成するには、次の Terraform をテンプレートに追加します。
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Authorization/roleAssignments@2022-04-01"
name = "string"
parent_id = "string"
body = jsonencode({
properties = {
condition = "string"
conditionVersion = "string"
delegatedManagedIdentityResourceId = "string"
description = "string"
principalId = "string"
principalType = "string"
roleDefinitionId = "string"
}
})
}
プロパティ値
roleAssignments
| 名前 | 説明 | 値 |
|---|---|---|
| type | リソースの種類 | "Microsoft.Authorization/roleAssignments@2022-04-01" |
| name | リソース名 | string (必須) 文字数制限: 36 有効な文字: グローバル一意識別子 (GUID) である必要があります。 リソース名はテナント間で一意である必要があります。 |
| parent_id | この拡張機能リソースを適用するリソースの ID。 | string (必須) |
| properties | ロールの割り当てプロパティ。 | RoleAssignmentProperties (必須) |
RoleAssignmentProperties
| 名前 | 説明 | 値 |
|---|---|---|
| condition | ロールの割り当てに関する条件。 これにより、割り当て可能なリソースが制限されます。例: @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container' | string |
| conditionVersion | 条件のバージョン。 現在、受け入れられる値は '2.0' のみです | string |
| delegatedManagedIdentityResourceId | 委任されたマネージド ID リソースの ID | string |
| description | ロールの割り当ての説明 | string |
| principalId | プリンシパル ID。 | string (必須) |
| principalType | 割り当てられたプリンシパル ID のプリンシパルの種類。 | "Device" "ForeignGroup" "グループ" "ServicePrincipal" "User" |
| roleDefinitionId | ロール定義 ID | string (必須) |
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示