適用対象: Azure Local 2311.2 以降
この記事では、ロールベースのアクセス制御 (RBAC) を使用して、Azure Arc が有効化した Azure Local 仮想マシン (VM) へのアクセスを制御する方法について説明します。
組み込みの RBAC ロールを使用して、仮想ディスク、ネットワーク インターフェイス、VM イメージ、論理ネットワーク、ストレージ パスなどの VM と VM リソースへのアクセスを制御できます。 これらのロールを、ユーザー、グループ、サービス プリンシパル、およびマネージド ID に割り当てることができます。
組み込みの RBAC ロールについて
Azure Local の VM と VM リソースへのアクセスを制御するには、次の RBAC ロールを使用します。
- Azure Stack HCI 管理者 - このロールは、Azure ローカル インスタンスとそのリソースへのフル アクセスを許可します。 Azure Stack HCI 管理者は、システムを登録するだけでなく、Azure Stack HCI VM 共同作成者と Azure Stack HCI VM 閲覧者ロールを余暇のユーザーに割り当てることができます。 また、論理ネットワーク、VM イメージ、ストレージ パスなどの共有リソースを作成することもできます。
- Azure Stack HCI VM 共同作成者 - このロールは、VM の起動、停止、再起動など、すべての VM アクションを実行するためのアクセス許可を付与します。 Azure Stack HCI VM 共同作成者は、VM の作成および削除、そして VMにアタッチされたリソースと拡張機能の作成と削除ができます。 Azure Stack HCI VM 共同作成者は、システムを登録したり、他のユーザーにロールを割り当てたり、論理ネットワーク、VM イメージ、ストレージ パスなどのシステム共有リソースを作成したりすることはできません。
- Azure Stack HCI VM 閲覧者 - このロールは、VM のみを表示するアクセス許可を付与します。 VM 閲覧者は、VM または VM リソースおよび拡張機能に関する操作はできません。
以下は、各ロールが VM と各種 VM リソースに付与する VM アクションを説明した表です。 VM リソースとは、VM を作成するために必要なリソースのことで、仮想ディスク、ネットワーク インターフェイス、VM イメージ、論理ネットワーク、ストレージ パスなどが含まれます:
| 組み込みロール | VM | VM のリソース |
|---|---|---|
| Azure Stack HCI 管理者 | VM の作成、一覧、削除 VM の起動、停止、再起動 |
論理ネットワーク、VM イメージ、ストレージ パスを含むすべての VM リソースの作成、一覧、削除 |
| Azure Stack HCI VM 共同作成者 | VM の作成、一覧、削除 VM の起動、停止、再起動 |
論理ネットワーク、VM イメージ、ストレージ パスを除くすべての VM リソースの作成、一覧、削除 |
| Azure Stack HCI VM 閲覧者 | すべての VM の一覧 | すべての VM リソースの一覧 |
前提条件
開始する前に、次の前提条件を満たしていることを確認してください。
Azure Local の要件が満たされていることを確認します。
所有者またはユーザー アクセス管理者として Azure サブスクリプションにアクセスでき、ロールを別のユーザーに割り当てることができることを確認します。
RBAC ロールをユーザーに割り当てる
Azure Portal で、RBAC ロールをユーザーに割り当てることができます。 これらの手順に従って、RBAC ロールをユーザーに割り当てます。
Azure Portal で、アクセス許可を付与する範囲を検索します。たとえば、サブスクリプション、リソース グループまたは特定のリソースの検索などが挙げられます。 この例では、Azure Local をデプロイするサブスクリプションを使用します。
サブスクリプションに移動し、アクセス制御 (IAM)>ロールの割り当てに移動します。 上部のコマンド バーで 、[ + 追加 ] を選択し、[ ロールの割り当ての追加] を選択します。
ロールを割り当てるアクセス許可がない場合は、[ ロールの割り当ての追加] オプションが無効になります。
[ ロール ] タブで、割り当てる RBAC ロールを選択し、次の組み込みロールのいずれかを選択します。
- Azure Stack HCI 管理者
- Azure Stack HCI VM 共同作成者
- Azure Stack HCI VM リーダー
![Azure ローカル インスタンスの Azure portal での RBAC ロールの割り当て中の [ロール] タブを示すスクリーンショット。](media/assign-vm-rbac-roles/add-role-assignment-2.png?view=azloc-2505)
[ メンバー ] タブで、 ユーザー、グループ、またはサービス プリンシパルを選択します。 また、ロールを割り当てるメンバーを選択します。
![Azure ローカル インスタンスの Azure portal でのロールの割り当て中に [メンバー] タブを示すスクリーンショット。](media/assign-vm-rbac-roles/add-role-assignment-3.png?view=azloc-2505)
ロールを確認して、割り当てます。
![Azure ローカル インスタンスの Azure portal でのロールの割り当て中に [確認と割り当て] タブを示すスクリーンショット。](media/assign-vm-rbac-roles/add-role-assignment-4.png?view=azloc-2505)
ロールの割り当てを確認します。 アクセス制御 (IAM)>アクセスを確認>自分のアクセスを表示します。 ロールの割り当てが表示されるはずです。
![Azure ローカル インスタンスの Azure portal での RBAC ロールの割り当て中の [ロール] タブを示すスクリーンショット。](media/assign-vm-rbac-roles/add-role-assignment-2.png?view=azloc-2505#lightbox)
![Azure ローカル インスタンスの Azure portal でのロールの割り当て中に [メンバー] タブを示すスクリーンショット。](media/assign-vm-rbac-roles/add-role-assignment-3.png?view=azloc-2505#lightbox)
![Azure ローカル インスタンスの Azure portal でのロールの割り当て中に [確認と割り当て] タブを示すスクリーンショット。](media/assign-vm-rbac-roles/add-role-assignment-4.png?view=azloc-2505#lightbox)
ロールの割り当ての詳細については、 Azure portal を使用した Azure ロールの割り当てに関するページを参照してください。