はじめに
Azure ADとサブスクリプションは切っても切れない関係性です。
人に説明するのが難しく困ることがあるので改めて理解を深めるため、自分が利用する範囲ですが簡単に整理してみました。
Azure ADとサブスクリプションの関連付け
Azure ADとサブスクリプションは1:Nの関係になります。
同じAzure ADに関連付けられているサブスクリプションは同一アカウントですべてのサブスクリプションにアクセスする事が可能です。
例えば開発/検証/本番と環境をサブスクリプションで分けた場合においても1つのアカウントですべてのサブスクリプションにアクセスすることが可能です。
ロール
ロール(権限)はAzure ADロールとAzure RBACの2種類あります。
- Azure ADロール
- Azure ADリソースに対する権限をユーザ(グループ)に付与
- Azure RBAC
- Azureリソースに対する権限をユーザに付与(上位スコープのリソースは配下に継承)
Azure ADのロールが付与されていないユーザにおいてもAzureリソースに対して
ユーザとロールを割当てることでAzure ADの認証後にAzureリソースの操作が可能となります。
例外としてAzure ADの全体管理者はすべてのサブスクリプションに対してアクセスする権限を自身に付与できます。
複数サブスクリプションの管理
同一Azure ADテナント内の複数のサブスクリプションは管理グループを使用することでグルーピングが可能です。
管理グループにはAzure Policy、Azure RBACを適用可能です。
適用したPolicy/RBACは下位の管理グループ、およびサブスクリプションに継承されます。
最後に
超簡単にですが自分なりにまとめてみました。
同じように困っている方に少しでもお役に立てば幸いです。
参考ドキュメント
Azure ABACというのもあるのですね…。