Microsoft Learnを用いたMicrosoft Azure Administrator(AZ-104)の試験内容をまとめる投稿です。
この投稿ではMicrosoft Learnで学ぶ内容をできるだけ簡潔にまとめております。
Azureの勉強を一から始め、AZ-900取得後の資格としてAZ-104取得を目指している方の参考になれば幸いです。
※AZ-900の内容は本投稿では省略しております。再度復習したい方は下記をご参照ください。
Azure Fundamentals(AZ-900):試験合格に向けた学習内容のまとめ
今回の学習内容
◆「Azure RBAC」
◇対応するMicrosoft Learn ラーニングパス
AZ-104:Azure での ID とガバナンスの管理
◇対応するモジュール
ロールベースのアクセス制御を実装する方法
※前回の投稿は下記から確認できます。
Azure Administrator(AZ-104):Azure での ID とガバナンスの管理「Azure Policyの作成手順」
Azure RBAC
AZ-900の学習まとめでも扱っておりますので、復習したい方は下記をご参照ください。
Azure Fundamentals(AZ-900):Azure の基礎: Azure のアーキテクチャとサービスについて説明する「Azureのロールベースのアクセス制御」
Azure RBAC
・ARM上に構築された承認システム
・Azureリソースにアクセスできるユーザを管理可能
・ユーザがリソースに対して実行できる操作を制御可能
・ユーザがアクセスできる領域を管理可能
・リソースへのアクセス制御にはAzureロールの割り当てが必要
◆Azure RBACでできることの例
・あるアプリに、リソースグループ内のすべてのリソースへのアクセスを許可
・あるユーザに、リソースグループ内のすべてのリソースの管理を許可
・あるユーザにサブスクリプション内のVM管理を許可し、別のユーザにVNetの管理を許可
・データベース管理者(DBA)にサブスクリプション内のSQLデータベースの管理を許可
Azure RBACの概念
◆セキュリティプリンシパル
・リソースへのアクセスを要求しているものを表すオブジェクト
-ユーザ
-グループ
-サービスプリンシパル(アプリケーションのID)
-マネージドID(サービスプリンシパルの一種)
◆ロールの定義
・実行できる操作が登録されたアクセス許可のコレクション
・組み込みロール(一例)
-所有者:リソース管理のためのフルアクセス
-共同作成者:リソース管理のためのフルアクセス(ロール割り当ては不可)
-閲覧者:読み取り専用
-ユーザアクセス管理者:リソースに対するユーザアクセスを管理
◆スコープ
・アクセスが適用されるリソースのセット
⇒要求されるアクセスレベルの境界
-管理グループ
-サブスクリプション
-リソースグループ
-リソース
◆割り当て
・特定のスコープでセキュリティプリンシパルにロール定義をアタッチするプロセス
・割り当ての作成でユーザにロール定義のアクセス権を付与
・拒否割り当てにより許可されないアクションのセットをロールに定義可能
⇒リソース保護のためにAzureによって拒否割り当ては作成/管理
Azure RBACの考慮事項
・ベストプラクティス:作業を実行するために最小限の特権をユーザに付与
⇒チーム内で職務を分離し、職務に必要なアクセス許可のみを付与
次の学習内容
◆ロール定義
学習内容をまとめたページの一覧