Azure

Azure新ポータルで共同管理者を作成する方法

はじめに

https://azure.microsoft.com/ja-jp/updates/azure-portal-updates-for-classic-portal-users/
ついにクラシックポータルが終了するようですね。
結構頻繁に旧ポータルでの作成ができなくなるリソースが増えてきたので、そろそろかなという感じもしてましたね。
そんな中7~8月くらいに旧ポータルを触っていて、不思議な場面に遭遇しました。
image.png
共同管理者が作成できないだと・・・っ!

上の様に新ポータルで共同管理者にする設定をするようになってました。
少し検索してると、2017年10月以降共同管理者は作成できないとの書き込みを発見し、社内でもその情報が独り歩きしていたので、今更ですが新ポータルでの共同管理者の設定方法を書いていきたいと思います。

事前準備

新ポータルで共同管理者にする際の条件が「RBACでサブスクリプションに対し所有者の権限が与えられていること」になります。
つまり、Azureリソースへの全権限を与えられているユーザーのみを共同管理者にすることが出来るのですね。
相変わらず強いですね、共同管理者。
共同管理者の権限が強すぎるためにRBACでの細かい権限操作ができるようになった背景を考えると納得の権限割り振りです。
以下はサブスクリプションの所有者にユーザーをする方法です。

Azureポータルの「その他のサービス」から「サブスクリプションを選択」
image.png

該当するサブスクリプションを選択し、「アクセス制御(IAM)」を選択
image.png

ページ上部の「+追加」を選択し、役割のプルダウンから「所有者」を選択する。
選択の下の部分にAzureADに登録されているユーザーの一覧が出てくるので、所有者権限を割り振りたいユーザーを選択し、保存する。
image.png

すると下の図の様に所有者の欄にユーザーが追加されます。(下の方のユーザーです。)
この図で分かる通り、ROLEの表示の左側がリソースに対する権限を、右側がサブスクリプションの権限を表しています。
image.png

共同管理者設定方法

共同管理者の設定は非常に簡単です。
上の図の右側の「・・・」を選択すると以下のようなポップアップが出てきます。
image.png

「共同管理者として管理する」を選択するとユーザーを共同管理者にすることが出来ます。
image.png

非常に簡単ですね。これでスーパーユーザーの出来上がりです。

終わりに

Azureの権限周りは中々一筋縄ではいかないですね。
サブスクリプションに対する権限だったり、ディレクトリに対する権限だったり、リソースに対する権限だったり。。。
自分もざっくりとは把握しているつもりですが、人に説明するとなるとどう表現していいのかわからなくなる時があります。
しかし、Azureを本格的に使用していくと必ず理解しなくてはならないところなのが歯がゆいですね。

そういえば旧ポータル閉鎖で一つ懸念があるのですが、サブスクリプションとディレクトリの紐づけ変更は新ポータルでできるようになるのですかね。。(誰か知っている方がいれば情報くださると助かります。)

締まらない終わり方になりましたが、皆様もAzureで素敵な権限管理を行ってください。
ではではー

追記

この記事書いてすぐに新ポータルでもサブスクリプションとディレクトリを変更する方法がアナウンスされました。
サブスクリプションのメニューから行うんですね。一安心です。
image.png
サブスクリプション名の変更もアカウントポータルではなく、こちらからできるようになっていたのですね。。。
旧ポータルが廃止されるまでは本当にポータルから目が離せませんね。

参考リンク

https://docs.microsoft.com/en-us/azure/billing/billing-add-change-azure-subscription-administrator
https://azure.microsoft.com/ja-jp/updates/edit-directory-now-in-new-portal/