LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@dessin

Azure のロールを、割り当て条件のせいで割り当てることができないトラブル

Last updated at Posted at 2024-12-15

マネージドID の検証をしていて、そのID に閲覧者ロールを割り当てられないエラーが発生しました。
image.png

結論

所有者ロールに条件が付いていて、新しく割り当てられるロールが「共同作成者」だけに制限されていた。
所有者ロールについている条件を変更できなかったので、ルートスコープでのアクセス権管理を有効にし、既存の所有者ロールを削除すると解決できた。
所有者権限を新しく付与するときには条件を選択することができたので、新しい所有者権限では閲覧者ロールを付与することができた。

解決方法の解説は、root の管理権限 から読んでください。

環境・やったこと

私の検証環境では、自分のアカウントに「共同作成者」「所有者」の二つのロールがついています。
ロールの割り当て権限にも制限が付けられるようになっています。
例えばリソースグループのIAM の画面で、「マイアクセスの表示」で確認すると・・・
image.png

所有者と、共同作成者ロールを持っていることがわかりますが・・・・
image.png

画面右の「条件」の欄にビューという部分をクリックすると、権限を遂行するときの条件を設定することができます。
image.png
image.png
ここを見ると、どうやら所有者の権限で割り当てられるロールが、共同作成者のみに制限されています。
いったん冒頭のマネージドID に、共同作成者ロールなら割り当てられるかどうかを試します。
ちなみに仮想マシンについてるマネージドID です。マネージドID のロールの割り当て画面からやります。
image.png

できましたね。上の通知です。

image.png

今度は、先ほどの画面の「ロールの追加」で、本来与えたかった「閲覧者」ロールを追加してから、マネージドID にロール割り当てを試します。
スコープはリソースグループにしたいので、リソースグループのIAM から操作します。

image.png

できると思ったらできませんでした。同じエラーでた。
image.png

また設定確認しに来たら、設定が変更されてなかった。やり直しても、共同作成者しかつかなくなってる。
image.png

「条件テンプレートのリセット」とか試してみましたが、閲覧者ロールの割り当てを可能にする設定を保存することができません。
ここで保存しても・・・・
image.png

また戻ってきたら共同作成者に置き換わっている。なんだこりゃむっちゃもやもやする
image.png

今度はリソースグループの画面のロール割り当てから行ってみると、職務ロールに何も出てこない。特権ロールの共同作成者のみが割り当てられる状況。堂々巡りです。
image.png

root の管理権限

(2024年12月16日追記)
サブスクリプションのスコープで、割り当ての条件を編集しようとしたらエラーが出ました。リソースグループのスコープではエラーすら出ずに、保存できない状況だったのですが。
image.png
どうやら所有者にも格があって、条件の変更までできる権限ってのがあるようです。

公式DOC に、「グローバル管理者もすべていじれるわけではないよ」と書いてます。そしてroot スコープの管理者権限の付与方法が書いてあるので、以下ではそれを試してみます。

Azure portal にグローバル管理者を持ってるユーザーでログインしてEntra ID でプロパティ を開きます。
image.png
「このテナント内のすべての Azure サブスクリプションおよび管理グループへのアクセスを管理できます」をYes に変えて保存。
image.png

サブスクリプションスコープでのロール割り当て条件の変更を試してみますが、やっぱり駄目でした。
image.png

ちなみにサブスクリプションのIAM を確認すると、ルートスコープのユーザーアクセス管理者がついてました。(所有者が消えてるのは、後の作業で所有者を削除した時気づいたからです。)
image.png

所有者権限をいったん削除する

サブスクリプションスコープでの所有者権限を一度削除しました。
そうすると、目標だったマネージドID への閲覧者権限の付与に成功しました。
image.png
image.png

所有者権限を再度割り当てる

所有者権限を与える画面で、条件が選べるようになってました。
image.png

この環境は自分用の検証環境であり、この画面に到達してる時点でどれを選んでも同じですね。とりあえず真ん中で付与しました。閲覧者も付けられるはずの条件です。
この権限で閲覧者ロールがマネージドID に付与できるか再トライします。

ルート管理権限を外してから再トライ

ルート管理権限を外します。
image.png

この時点で、サブスクリプションのスコープに対して私が持っている権限は、さっき改めて付けた「所有者」と、元からあった「共同作成者」だけになっています。

マネージドID に付与した権限をいったんすべて外し、再トライします。

できました。一番上の通知が、マネージドID に閲覧者を付けたことに成功したことのお知らせです。
image.png

新しく作った所有者ロールの条件ですが、やはり普通の権限では変更することができないようです。先ほど設定したとおり、特定のロールが除外された条件テンプレートが適用されていて、「構成」をクリックした先でも変更を保存することができませんでした。
image.png

条件が変更できなかったら、ルートの権限を一時的に与えて、新しくロールを付与して条件をいじりましょう。

お疲れさまでした。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?