こんにちは。torippy1024です。
タイトル通りとなりますが、資格取得後、Azureに関する知識をほぼ忘れてしまったため、勉強メモとして初心者向け記事を書いてみることにしました。
一度理解した内容を思い返すためのメモですので、詳細な解説はしませんが「あーそうそうこうだった!」と思い出すための手助けとなれば幸いです。
(逆に言うと、ちゃんと知っている人から見ると「なんだこの初心者丸出しの記事!!」と怒られるかもしれません。素人ですいません)
Azure AD/管理グループ/サブスクリプション/リソースグループ(RG)の関係
Azureを構成する重要な概念に、Azure AD(Azure Active Directory)、管理グループ、サブスクリプション、リソースグループがあります。これらはそれぞれ上位のオブジェクトと1:Nの関係があります。また、同じオブジェクト同士で入れ子の構造をとれるのは管理グループのみです。(つまり、管理グループのみが、管理グループの下にもう一つの管理グループを作ることができ、それ以外はできません)
| 名前 | 説明 |
|---|---|
| Azure AD | Azure上のActive Directory. 1つ以上のドメインを持つ。 |
| 管理グループ | サブスクリプションをまとめた管理グループ。 |
| サブスクリプション | 課金・請求の単位。サブスクリプションは複数のAzure ADに所属することはできない。 |
| リソースグループ | リソースを管理するための管理グループ。 |
| リソース | Azureサービスなどのリソース。 |
Microsoftのこちらの図に書かれている通りですね。
https://docs.microsoft.com/ja-jp/azure/role-based-access-control/rbac-and-directory-admin-roles
Azure ADとサブスクリプションの関係
注意しなければならないのですが、Azure ADの中にサブスクリプションがある、という考え方は少し違うということです。
**Azure ADの管理者は、サブスクリプションの管理者ではないのです。**Azure ADとサブスクリプションはそれぞれ独立の関係と考えるべきです。
そして、ある特定のAzure ADをサブスクリプションが「信頼(Trust Relationship)」することで、そのAzure ADと関連付くと理解するのが良いです。
サブスクリプションの全てがそのAzure ADの配下に所属すると理解するのではなく、「信頼したので、そのAzure ADによるユーザーを使ってこのサブスクリプションにアクセスさせてあげるよ」という意味と理解するのが良いと思います。
https://docs.microsoft.com/ja-jp/azure/active-directory/fundamentals/active-directory-how-subscriptions-associated-directory
主なADロールとAzureロール
Azureにおけるユーザーは、Azure Active Directory上で管理されています。
RBACによって認証・認可が設定され、ユーザーにロールを割り当てることで権限設定が行われます。
先述した通りですが、Azure ADに対する権限があるからといって、サブスクリプション(およびその配下のリソースグループやリソース)に対する権限があるとは限りません。
Azure ADに対する権限を与えるロールはADロール、サブスクリプションに対する権限を与えるロールをAzureロールと呼びます。
(まあ、グローバル管理者であれば、自分自身を昇格させることで、Azure ADを信頼している全サブスクリプションに対する権限を取得できるのですが・・・・・・。
https://docs.microsoft.com/ja-jp/azure/role-based-access-control/elevate-access-global-admin)
ロールについては非常に多くの種類があり、しかもカスタマイズすることができるのですが、
主なロール(試験によく出てくるという意味も含める)は以下です。
| ロール種別 | 名前(日本語) | 名前(英語) | 説明 |
|---|---|---|---|
| ADロール | グローバル管理者/全体管理者 | Global Administrator | Azure Active Directory(AAD)に対して設定されるロール。AADの管理者であり、AADに対する全ての権限を持つ。また自分自身を昇格させることで、配下のサブスクリプションに対する全権限を取得できる |
| Azureロール | サブスクリプション管理者 | Subscription Administrator | サブスクリプションに対して設定されるロール。サブスクリプションに対する全ての権限を持つ。 |
| Azureロール | 所有者 | Owner | 特定のリソースグループまたはリソースに対する操作(作成・変更・削除)権限およびユーザーアクセス設定権限の両方を持つロール。 |
| Azureロール | 共同作成者 | Contributor | 特定のリソースグループまたはリソースに対する操作権限のみを持つロール。 |
| Azureロール | 閲覧者 | Reader | 特定のリソースグループまたはリソースに対する読み取り(Read)権限を持つロール。 |
| Azureロール | ユーザー管理者 | User Access Administrator | 特定のリソースグループまたはリソースに対するユーザーアクセス権を管理することができるロール。 |
本日の勉強メモは以上です。
認識誤りなどありましたらこっそり教えていただけると助かります。