2022年から本格的にAzureを触るようになりました。AWSでもそうでしたが、クラウドサービスでいつも最初につまづくのは権限管理です。
この記事では、権限管理について簡単に説明します。また、具体的な設定方法例も載せます。
管理スコープ
Azure には、権限を管理するときの概念として 管理スコープ があります。
管理スコープには4つのレベルがあります。
- 管理グループ
- サブスクリプション
- リソース グループ
- リソース
階層内のいずれかのレベルで任意のアクセスまたはポリシーを適用すると、下位レベルに伝達されます。 リソース所有者またはサブスクリプション所有者は、継承されたポリシーを変更できません。 この制限によりガバナンスを向上させることができます。
引用元 | Azure 管理グループ
言葉の補足をすると、アクセスまたはポリシー は権限のことです。下位レベルに伝達 = 継承 です。
階層構造のイメージは以下です。
例として、上記の図のような構成の場合に、DB へのアクセスを許可するポリシーを適用したときにどうなるかを説明します。
管理グループ A でポリシーを適用した場合
適用したポリシーは、管理グループ A 配下の全てで有効となります。
管理グループ A -> サブスクリプション A -> リソースグループ A,B の関係性なので、DB X,Y のどちらにもアクセスできます。
サブスクリプション A でポリシーを適用した場合
適用したポリシーは、サブスクリプション A 配下の全てで有効となります。
管理グループの例と同じく、サブスクリプション A -> リソースグループ A,B の関係性なので、DB X,Y のどちらにもアクセスできます。
リソースグループ A でポリシーを適用した場合
適用したポリシーは、リソースグループ A 配下の全てで有効となります。
管理グループの例と同じく、リソースグループ A -> DB X の関係性なので、DB X のみアクセスできます。
上記の例は許可でしたが、拒否も同様です。
また実際には、管理グループだけでも何層もの階層構造になっている場合があります。
その場合も、下位レベルに継承されます。
引用元 | 管理グループとサブスクリプションの階層
設定方法
今回は、一開発者がよく使うリソースグループに対しての設定を例に説明します。
管理グループやサブスクリプションへの設定も、リソースグループを置き換えて考えて頂ければほぼ同じです。
リソースグループとは
リソースグループは、管理スコープの上から 3 番目に位置します。
簡単にいうと、リソースをまとめる論理グループです。個々のリソースは必ず1つのリソースグループに所属しています。リソース作成時に必須で指定します。
手順
権限を設定する際に決めることは以下です。
- どのリソースグループに対して
- どのようなロール^1を
- 誰に
実際の設定手順を見てみましょう。
設定手順は、Azure Portalで説明します。
リソースグループの画面を開き、対象の リソースグループ を選択します。
※どのリソースグループに対して
左のナビゲーションの アクセス制御 (IAM) を開き、 +追加 > ロールの割り当ての追加 を選択します。
割り当てるロールを選択して、 次へ を押下します。
※どのようなロール(権限)を
割り当て先のメンバーを追加して、 次へ を押下します。
※誰に
割り当てるロールと割り当て先のメンバーを確認して レビューと割り当て を押下します。
リソースグループの画面で、「このリソース」として割り当て出来ていればOKです。
おわりに
必要最低限でAzureの権限管理を説明しました。
権限管理は面倒な作業ですが、大事なことなので適切に設定出来るように理解しておきたいですね。