AzureADのロールとRBACのロールの違い
AZ-104の勉強をしていてAzureADのロールとRBACのロールって何が違うの?とわからなくなってしまった。
AzureADのロール
AzureADで実行する作業における権限を指定できるロール。
グローバル管理者(AzureADに関わるすべての権限)、ユーザー管理者(ユーザーとグループに関わる権限)、パスワード管理者(全ユーザーのパスワード変更やリセットの権限)などがある。
ポータル上では「ロールと管理者」メニューからロールにユーザーを紐づけるか、「割り当てられたロール」メニューからユーザーにロールを紐づけることができる。
※どちらでも行われる操作の結果は変わらない。
AzureADテナントを作成したユーザーはデフォルトでグローバル管理者のロールが割り当てられる。
RBACのロール
Azureのリソースやデータに対して作業を行う際の権限を指定できるロール。
所有者(該当リソースやグループのフルコントロール)、共同作成者(アクセス権付与以外のすべての権限)、閲覧者(読み取り専用)などがある。
ポータルでは「ロールの割り当て」メニューからユーザーへのロール割り当てができる。
また、サービスプリンシパル(特定のアプリケーションが別のリソースにアクセスするときなど)に対してロールを割り当てることも可能。
複数ロールが割り当てられている場合は各権限の和集合が最終的なロールとなる。
既存のロールでは求める権限が与えられない場合、JSONで権限情報を記述することでカスタムロールを使用可能
※カスタムロール使用にエディションの制限なし。
何が違うの?
いくつか異なる点があるが主に使用用途が異なる。
AzureADのロールはユーザー管理やグループ管理のためのロール割り当てが主な目的だが、RBACのロールはAzureのリソースの使用や作成・閲覧に関する権限を指定する。
| RBACのロール | AzureADのロール | |
|---|---|---|
| 目的 | リソースの管理 | ユーザーやグループなどAzureADのリソース管理 |
| スコープ | 管理グループ、サブスクリプション、リソースグループ、リソース、サービスプリンシパル | テナント、管理単位、オブジェクト |
| カスタムロール | エディションの制限なし | AzureADPremiumのみ |