[Remediation](修復) ダッシュボードでロール/ポリシーを作成する

この記事では、Microsoft Entra Permissions Management で [Remediation](修復) ダッシュボードを使用して、アマゾン ウェブ サービス (AWS)、Microsoft Azure、または Google Cloud Platform (GCP) の認可システム用に、ロール/ポリシーを作成する方法について説明します。

Note

[Remediation] (修復) タブを表示するには、閲覧者、コントローラー、または管理者のアクセス許可が必要です。 このタブで変更を行うには、[Controller](コントローラー) または [Administrator](管理者) のアクセス許可が必要です。 これらのアクセス許可を持っていない場合は、システム管理者に連絡してください。

Note

Microsoft Azure では、他のクラウド プロバイダーで "ポリシー" と呼ばれているものに対して "ロール" という用語が使用されます。 認可システムの種類を選択すると、Permissions Management によってこの用語変更が自動的に行われます。 ユーザー ドキュメントでは、"ロール/ポリシー" を使用して両方を参照します。

AWS のポリシーを作成する

Note

AWS サービス クォータについて、および AWS サービス クォータの引き上げの要求については、AWS のドキュメントを参照してください。

1. Microsoft Entra のホーム ページで、[修復] タブ、[ロール/ポリシー] タブの順に選択します。

2. ドロップダウン リストを使用して、[Authorization System Type](認可システムの種類) と [Authorization System](認可システム) を選択します。

3. [ポリシーを作成する] を選択します。

4. [Details](詳細) ページで、[Authorization System Type](認可システムの種類) と [Authorization System](認可システム) は、前の設定から事前に設定されています。

   • 設定を変更するには、ドロップダウンから選択します。

5. [How Would You Like To Create The Policy](ポリシーの作成方法) で、必要なオプションを選択します。

   • [Activity of User(s)](ユーザーのアクティビティ): ユーザー アクティビティに基づいてポリシーを作成できます。
   • [Activity of Group(s)](グループのアクティビティ): グループに属するすべてのユーザーの集計されたアクティビティに基づいてポリシーを作成できます。
   • [Activity of Resource(s)](リソースのアクティビティ): リソースのアクティビティ (EC2 インスタンスなど) に基づいてポリシーを作成できます。
   • [Activity of Role](ロールのアクティビティ): ロールを引き受けたすべてのユーザーの集計されたアクティビティに基づいてポリシーを作成できます。
   • [Activity of Tag(s)](タグのアクティビティ): すべてのタグの集計されたアクティビティに基づいてポリシーを作成できます。
   • [Activity of Lambda Function](ラムダ関数のアクティビティ): ラムダ関数に基づいて新しいポリシーを作成できます。
   • [From Existing Policy](既存のポリシーから): 既存のポリシーに基づいて新しいポリシーを作成できます。
   • [New Policy](新しいポリシー): 新しいポリシーを一から作成できます。

6. [Tasks performed in the last](次の期間に実行されたタスク) では、[90 days](90 日)、[60 days](60 日間)、[30 days](30 日間)、[7 days](7 日間)、または [1 day](1 日間) の中から期間を選択します。

7. 必要に応じて、[Include Access Advisor data](Access Advisor のデータを含める) を選択または選択解除します。

8. [Settings](設定) で、[Available](使用可能) 列からプラス記号 (+) を選択して ID を [Selected](選択済み) 列に移動し、[次へ] を選択します。

9. [Tasks](タスク) ページで、[Available](使用可能) 列からプラス記号 (+) を選択して、タスクを [Selected](選択済み) 列に移動します。

   • カテゴリ全体を追加するには、カテゴリを選択します。
   • カテゴリから個々の項目を追加するには、カテゴリ名の左側にある下矢印を選択し、個々の項目を選択します。

10. [Resources](リソース) で、[All Resources](すべてのリソース) または [Specific Resources](特定のリソース) を選択します。

    [Specific Resources](特定のリソース) を選択すると、使用可能なリソースの一覧が表示されます。 追加するリソースを見つけて、[追加] を選択します。

11. [Request Conditions](要求の条件) で [JSON] を選択します。

12. [Effect](効果) で [Allow](許可) または [Deny](拒否) を選択し、[次へ] を選択します。

13. [Policy name:](ポリシー名) には、ポリシーの名前を入力します。

14. ポリシーに別のステートメントを追加するには、[Add Statement](ステートメントの追加) を選択し、[Statements](ステートメント) の一覧からステートメントを選択します。

15. [Task](タスク)、[Resources](リソース)、[Request Conditions](要求の条件)、および [Effect](効果) の各設定を確認し、[次へ] を選択します。

16. [Preview](プレビュー) ページでスクリプトを確認し、内容が正しいことを確認します。

17. コントローラーが有効になっていない場合は、[Download JSON](JSON をダウンロード) または [Download Script](スクリプトをダウンロード) を選択してコードをダウンロードし、自分で実行します。

    コントローラーが有効になっている場合は、この手順をスキップします。

18. [Split Policy](分割ポリシー) を選択し、[Submit](送信) を選択します。

    作成するためにポリシーが送信されたことを確認するメッセージが表示されます

19. Permissions Management 作業ペインが右側に表示されます。

    • Active タブには、現在処理されているPermissions Managementポリシーの一覧が表示されます。
    • Completed タブには、完了したPermissions Managementポリシーの一覧が表示されます。

20. 指定された承認システムのデータ収集が完了すると、新しく作成されたポリシー情報が反映されます。

Azure のロールを作成する

1. Permissions Managementのホーム ページで、[Remediation](修復) タブを選択し、次に アクセス許可 サブタブを選択します。

2. ドロップダウン リストを使用して、[Authorization System Type](認可システムの種類) と [Authorization System](認可システム) を選択します。

3. [Create Role](ロールの作成) を選択します。

4. [Details](詳細) ページで、[Authorization System Type](認可システムの種類) と [Authorization System](認可システム) は、前の設定から事前に設定されています。

   • 設定を変更するには、ボックスを選択し、ドロップダウンから選択します。

5. [How Would You Like To Create The Role?](ロールの作成方法) で、必要なオプションを選択します。

   • [Activity of User(s)](ユーザーのアクティビティ): ユーザー アクティビティに基づいてロールを作成できます。
   • [Activity of Group(s)](グループのアクティビティ): グループに属するすべてのユーザーの集計されたアクティビティに基づいてロールを作成できます。
   • [Activity of App(s)](アプリのアクティビティ): すべてのアプリの集計されたアクティビティに基づいてロールを作成できます。
   • [From Existing Role](既存のロールから): 既存のロールに基づいて新しいロールを作成できます。
   • [New Role](新しいロール): 新しいロールを一から作成できます。

6. [Tasks performed in the last](次の期間に実行されたタスク) では、[90 days](90 日)、[60 days](60 日間)、[30 days](30 日間)、[7 days](7 日間)、または [1 day](1 日間) の中から期間を選択します。

7. 必要に応じて次を実行します。

   • [Ignore Non-Microsoft Read Actions](Microsoft 以外の読み取りアクションを無視する) を選択または選択解除します。
   • [Include Read-Only Tasks](読み取り専用タスクを含める) を選択または選択解除します。

8. [Settings](設定) で、[Available](使用可能) 列からプラス記号 (+) を選択して ID を [Selected](選択済み) 列に移動し、[次へ] を選択します。

9. [Tasks](タスク) ページの [Role name:](ロール名) に、ロールの名前を入力します。

10. [Available](使用可能) 列からプラス記号 (+) を選択して、タスクを [Selected](選択済み) 列に移動します。

    • カテゴリ全体を追加するには、カテゴリを選択します。
    • カテゴリから個々の項目を追加するには、カテゴリ名の左側にある下矢印を選択し、個々の項目を選択します。

11. [次へ] を選択します。

12. (省略可能) 管理者は、スコープとして使用するリソース グループのスコープ文字列をコピーできます。 Azure で、[リソース グループ]>[監視]>[プロパティ] の順に選択し、リソース ID をコピーします。

13. [Preview](プレビュー) ページで、次を確認します。

    • 選択したアクションとアクション以外の一覧。
    • JSON またはスクリプト。それが選択した内容であることを確認します。

14. コントローラーが有効になっていない場合は、[Download JSON](JSON をダウンロード) または [Download Script](スクリプトをダウンロード) を選択してコードをダウンロードし、自分で実行します。

    コントローラーが有効になっている場合は、この手順をスキップします。

15. [Submit](送信) をクリックします。

    作成するためにロールが送信されたことを確認するメッセージが表示されます

16. アクセス許可管理 作業ペインが右側に表示されます。

    • Active タブには、現在処理されているPermissions Managementポリシーの一覧が表示されます。
    • Completed タブには、完了したPermissions Managementポリシーの一覧が表示されます。

17. 指定された承認システムのデータ収集が完了すると、新しく作成されたロール情報が反映されます。

GCP のロールを作成する

1. Permissions Managementのホーム ページで、[Remediation](修復) タブを選択し、次に アクセス許可 サブタブを選択します。

2. ドロップダウン リストを使用して、[Authorization System Type](認可システムの種類) と [Authorization System](認可システム) を選択します。

3. [Create Role](ロールの作成) を選択します。

4. [Details](詳細) ページで、[Authorization System Type](認可システムの種類) と [Authorization System](認可システム) は、前の設定から事前に設定されています。

   • 設定を変更するには、ボックスを選択し、ドロップダウンから選択します。

5. [How Would You Like To Create The Role?](ロールの作成方法) で、必要なオプションを選択します。

   • [Activity of User(s)](ユーザーのアクティビティ): ユーザー アクティビティに基づいてロールを作成できます。
   • [Activity of Group(s)](グループのアクティビティ): グループに属するすべてのユーザーの集計されたアクティビティに基づいてロールを作成できます。
   • [Activity of Service Account(s)](サービス アカウントのアクティビティ): すべてのサービス アカウントの集計されたアクティビティに基づいてロールを作成できます。
   • [From Existing Role](既存のロールから): 既存のロールに基づいて新しいロールを作成できます。
   • [New Role](新しいロール): 新しいロールを一から作成できます。

6. [Tasks performed in the last](次の期間に実行されたタスク) では、[90 days](90 日)、[60 days](60 日間)、[30 days](30 日間)、[7 days](7 日間)、または [1 day](1 日間) の中から期間を選択します。

7. 前の手順で [Activity Of Service Account(s)](サービス アカウントのアクティビティ) を選択した場合は、[Collect activity across all GCP Authorization Systems](すべての GCP 認可システムでアクティビティを収集する) を選択または選択解除します。

8. [Available](使用可能) 列からプラス記号 (+) を選択して、ID を [Selected](選択済み) 列に移動し、[次へ] を選択します。

9. [Tasks](タスク) ページの [Role name:](ロール名) に、ロールの名前を入力します。

10. [Available](使用可能) 列からプラス記号 (+) を選択して、タスクを [Selected](選択済み) 列に移動します。

    • カテゴリ全体を追加するには、カテゴリを選択します。
    • カテゴリから個々の項目を追加するには、カテゴリ名の左側にある下矢印を選択し、個々の項目を選択します。

11. [次へ] を選択します。

12. [Preview](プレビュー) ページで、次を確認します。

    • 選択したアクションの一覧。
    • YAML またはスクリプト。それが選択した内容であることを確認します。

13. コントローラーが有効になっていない場合は、[Download YAML](YAML をダウンロード) または [Download Script](スクリプトをダウンロード) を選択してコードをダウンロードし、自分で実行します。

14. [Submit](送信) をクリックします。 作成するためにロールが送信されたことを確認するメッセージが表示されます

15. アクセス許可管理 作業ペインが右側に表示されます。

    • Active タブには、現在処理されているPermissions Managementポリシーの一覧が表示されます。
    • Completed タブには、完了したPermissions Managementポリシーの一覧が表示されます。

16. 指定された承認システムのデータ収集が完了すると、新しく作成されたロール情報が反映されます。

次のステップ

• 既存のロール/ポリシー、要求、およびアクセス許可を表示する方法については、[Remediation](修復) ダッシュボードでのロール/ポリシー、要求、およびアクセス許可の表示に関する記事を参照してください。
• ロール/ポリシーを変更する方法については、ロール/ポリシーの変更に関する記事を参照してください。