今回は、Azure ロールベースアクセス制御(RBAC)についてご紹介いたします。

Azure RBACとはAzure Resorce Manager の機能の1つであり、Azureにサインインしたユーザーごとに、操作できる範囲を制限することができる機能です。

Azureでは、利用開始直後、サービス管理者が用意されていますが、サービス管理者はすべての管理操作ができる完全アクセス機能を持っているため、常用での利用はかなり危険です。別途、ユーザーを作成し、必要最低限の権限を与えることが必要になるわけです。

設定するのは、「セキュリティ プリンシパル」、「ロール」、「スコープ」の３つです。

セキュリティ プリンパル（誰が）

「誰に対して」ロールを割り当てるのか、これがセキュリティ プリンシパルです。

ロール（どのような権限）

・所有者

・共同作成者

・閲覧者 からリソースに適したロールを選択します。

スコープ（どこで）

アクセス権限は、管理グループ、サブスクリプション、リソースグループ、リソースの順番で継承されるため、

上層に割り当てたアクセス権限は、下層でも有効になります。

たとえば、「ユーザーA」「閲覧者」「リソースグループ」に割り当てた場合、

ユーザーAはリソースグループに含まれるすべてのリソースにアクセスすることが出来るようになります。

画像【Azure RBAC とは - Learn | Microsoft Docs】

参照【ロールベース アクセス制御(RBAC) で役割分担 (cloudou.net)】