カスタム Azure ロールを構成する
Azure の組み込みロールが組織の特定のニーズを満たさない場合は、独自のAzure カスタム ロールを作成することができます。 組み込みロールと同様に、カスタム ロールは、ユーザー、グループ、サービス プリンシパルに対して、管理グループ (プレビューのみ)、サブスクリプションおよびリソースの各グループのスコープで割り当てることができます。 カスタム ロールは Microsoft Entra ID に保存され、サブスクリプション間で共有することができます。 各ディレクトリは、最大 5,000 個のカスタム ロールを持つことができます カスタム ロールは、Azure portal、Azure PowerShell、Azure CLI、または REST API を使用して作成できます。
ユーザー インターフェイスからカスタム ロールを作成する
組み込みの場合と同じように、ユーザー、グループ、またはその他のリソースにカスタム ロールを割り当てます。 管理者は、カスタム役割でアクセスできる機能を正確に制御できます。 最小特権の原則では、必要な機能だけを選択することができます。 カスタム ロールを作成するには、次の手順を実行します。
- Microsoft Entra 管理センターを開いてください。
- [ID] メニューの [ロールと管理] を選択してください。
- [+ 新しいカスタム ロール] を選択します。
- 次に、必要な機能に名前を付け、割り当てます。
JSON ファイル テンプレートからカスタム ロールを作成する
JSON ファイルを使用して、カスタム ロールを作成できます。 サンプルを次に示します。
{
"properties": {
"roleName": "Billing Reader Plus",
"description": "Read billing data and download invoices",
"assignableScopes": [
"/subscriptions/your-subscription-number"
],
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Billing/*/read",
"Microsoft.Commerce/*/read",
"Microsoft.Consumption/*/read",
"Microsoft.Management/managementGroups/read",
"Microsoft.CostManagement/*/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
アスタリスク (*) は、ワイルドカードとして使用します。
Microsoft/Billing/*/read コマンドが使用されている Billing リソースからすべての読み取りアクセス許可を割り当てる必要がある場合。 ワイルドカードはどのレベルにも存在している可能性があります。