Azure にユーザーを追加したいけど、どこで権限付与すればいいの?
例えば、あなたが Azure サブスクリプションの管理者になったとしましょう。
まずは、開発者や運用者を追加して Azure リソースを操作させたいです。
ただ、どのメニューからユーザーを追加し、権限設定すれば良いかイマイチわからない。
そんな悩みを解消するには、Azure ロールと Azure AD ロールという 2 種類のロールの存在を認識する必要があります。
Azure ロールと Azure AD ロール
Azure でリソースを作成したりするために必要な権限は Azure ロールです。
一方で、Azure ロールを付与する実体となるユーザーは Azure AD に存在しています。
この Azure AD を管理するのに必要なロールが Azure AD ロールです。
Azure ロール
Azure リソースを操作するために必要なロールです。
主な Azure ロールとして以下があります。
- 所有者
- 共同作成者
- 閲覧者
例えば、Azure サブスクリプション全体でのリソース操作権限を付与するには、サブスクリプションのアクセス制御 (IAM)から設定可能です。
Azure ロールの一覧はこちらの公式ドキュメントから確認できます。
Azure AD ロール
Azure AD でユーザーやアプリケーションを管理するためには Azure AD ロールが必要です。
主な Azure AD ロールには以下があります。
- グローバル管理
- ユーザー管理者
- アプリケーション管理者
Azure AD ロールは Azure AD のメニューなどからユーザーに権限付与できます。
Azure AD ロールの一覧はこちらの公式ドキュメントから確認できます
Azure リソース操作権限を付与したい場合、基本は Azure ロール
実際に Azure リソースを操作させたい場合は ユーザーに Azure ロールを付与してあげます。
Azure ロールの設定方法は、以下の公式ドキュメントに記載があります。
基本は アクセス制御 (IAM)の[追加]から、ロールと割り当てるユーザーを選択し、割り当てすれば OK です。
ただし、Azure ロールをユーザーに割り当てようとしたときにメンバーとして表示されない場合、Azure AD にそのユーザーが存在していない可能性があります。
その場合は、Azure AD に対象のユーザーを追加する必要があります。
Azure AD へのユーザー追加は以下の公式ドキュメントをご参照ください。
Azure AD にユーザー追加後、改めて Azure ロールを付与してあげましょう。
Azure リソースの操作だけであれば Azure AD ロールの付与は必要無いことが多いです。
一方で、Azure AD でユーザーやグループを管理したり、Azure AD を利用したサービス開発をする場合などでは Azure AD ロールが必要になってきます。
必要なロールを一覧から確認して Azure AD ロールを付与しましょう。
Azure ロールと Azure AD ロールの違いを意識しましょう
Azure を操作していたり、ドキュメントを読んでいると「所有者」や「グローバル管理者」など様々なロール名が出てきて混同してしまうかもしれません。
まずは、これら 2 つが異なる概念のロールを指していると意識できると、Azure でのユーザー権限管理のハードルが下がると思います。