#はじめに
Azure portalのDashbordの権限周りで色々あったのでメモ。
#DashBordを操作したい
負荷テストのモニタリング用ダッシュボードを編集して新しいサーバの情報を追加したい
と開発チームから依頼がきたので、権限付与して対応してもらうことに。
ダッシュボードに操作権限を付与したい場合は2パターン方法がある。
- サブスクリプションに権限を付与する
- dashbordのResourceGroupに権限を付与する
弊社では、AzureADと連携して個人アカウント/チーム単位で必要なリソースに対してのみ権限を付与していく運用をしていたため、
2のResourceGroupに権限を付与する方法を取った。
##ちょっとした盲点
早速dashbordというResourceGroupに共同作成者としてアカウントを追加。
DashBordの編集ボタンを押せるようになったものの、問題が2つ発生していた。
言われてみればそうだよね、という内容だが忘れないようにメモ。
###問題1 既にDashBordに追加していたメトリクスが見えない
DashBordに追加済みだったメトリクスの内、閲覧権限以上をつけていないリソースのメトリクスが「No Access」となり閲覧できない状態になっていた。
確かに。
リソースそのものに権限がないから、ダッシュボードの操作権限を持っていても
中身が見えないのは言われてみれば当たり前。
###問題2 新しいサーバのメトリクスがDashbordに追加できない
新しいサーバにも権限を付与していなかったため、Dashbordにメトリクスが追加できない状態になっていた。
確かに。確かに。
上記1の問題が起きるなら、そもそも権限がないリソースの情報を取得できるはずがない。
##結局DashBordを操作するのに必要なこと
- DashBordそのものの操作権限
- DashBordに追加するリソースの閲覧権限以上の権限
- 既にDashBordに追加済みのリソースの閲覧権限以上の権限
#反省
一通り操作してみると、確かにサブスクリプションに権限を付けてしまった方が圧倒的に楽だし煩雑にならない。
ドキュメントを見ていてもサブスクリプションに権限付けましょうねと書いてあるのはこういった理由からのようだった。
運用を今後どう改善していくか考える必要がありそう。
そもそも権限周りの運用にルールを明確に決めていないのでその場その場で適当な対応になっているのも問題。
また、リソース数もかなり多くなってきているのでタグを付けたりResourceGroupをまとめ直したり、
まずは整理から始めるのもありかもしれない。