ロールの割り当てを作成する
ロールの割り当ては、ユーザー、グループ、サービス プリンシパル、またはマネージド ID など、要求元のアクセス許可を制限するように、ロール定義のスコープを指定するプロセスです。
ロールの割り当てについて知っておく必要があること
ロールの割り当ての次の特性を確認します。
ロールの割り当ての目的は、アクセスを制御することです。
このスコープによって、割り当てられた要求元で使用できるロールに対して定義されたアクセス許可が制限されます。
ロールの割り当てを削除すると、アクセス権が取り消されます。
リソースでは、その親リソースからのロールの割り当てが継承されます。
要求元に対する有効なアクセス許可は、要求元の割り当てられたロールに対するアクセス許可と、要求されたリソースに割り当てられたロールのアクセス許可を組み合わせたものです。
ロールのスコープ レベルを割り当てる際に考慮すべきこと
次の図は、ロールにスコープを適用して、さまざまなユーザーにさまざまなレベルのアクセス権を付与する方法の例を示しています。 ロールのスコープを実装して、組織にとって意味のある割り当てを作成する方法について考えます。
このシナリオには、次のアクセス管理構成があります。
3 つのセキュリティ プリンシパル (ユーザー、グループ、サービス プリンシパル) がサポートされています。
6 つの組み込みロールが実装され、2 つのカスタム ロール ("閲覧者サポート チケット" と "仮想マシン オペレーター") が定義されています。
組み込みの "共同作成者" ロールには、Actions と NotActions の 2 つのアクセス許可セットがあります。
"共同作成者" ロールは、Marketing と Pharma-sales リソース グループに異なるスコープで割り当てられます。
Marketing のユーザーは、Pharma-sales リソース グループ内の任意の Azure リソースを作成または管理するアクセス権が付与されています。
Marketing のユーザーには、Pharma-sales リソース グループ外のリソースへのアクセス権は付与されません。