管理者として、他のユーザーに委任する Azure リソースへのアクセス権を付与する要求がいくつか届く場合があります。 ユーザーに 所有者 または ユーザー アクセス管理者 ロールを割り当てることができますが、これらは高い特権を持つロールです。 この記事では、組織内の他のユーザーに ロールの割り当て管理を委任し、それらのロールの割り当ての 制限を追加する、より安全な方法について説明します。 たとえば、割り当て可能なロールを制約したり、ロールを割り当てることができるプリンシパルを制約したりすることができます。
次の図は、条件を持つ代理人が、Marketing または Sales グループにのみバックアップ共同作成者ロールまたはバックアップ閲覧者ロールのみを割り当てることができる方法を示しています。
[前提条件]
Azure ロールを割り当てるには、以下が必要です。
-
Microsoft.Authorization/roleAssignments/writeロールベースアクセス制御管理者やユーザーアクセス管理者のようなアクセス許可
手順 1: 代理人が必要とするアクセス許可を決定する
代理人が必要とするアクセス許可を判断するには、次の質問に回答します。
- 代理人はどのロールを割り当ててもよいか?
- 代理人はどの種類のプリンシパルにロールを割り当ててもよいか?
- 代理人はどのプリンシパルにロールを割り当ててもよいか?
- 代理人は任意のロールの割り当てを削除できるか?
代理人が必要とするアクセス許可がわかったら、次の手順を使用して、デリゲートのロールの割り当てに条件を追加します。 条件の例については、「条件 を使用して Azure ロールの割り当て管理を委任する例」を参照してください。
手順 2: 新しいロールの割り当てを開始する
Azure portal にサインインします。
手順に従って、[ ロールの割り当ての追加] ページを開きます。
[ ロール ] タブで、[ 特権管理者ロール ] タブを選択します。
ロール ベースのアクセス制御管理者ロールを選択します。
[ 条件] タブが表示されます。
Microsoft.Authorization/roleAssignments/writeなど、Microsoft.Authorization/roleAssignments/deleteまたはアクションを含む任意のロールを選択できますが、ロール ベースのアクセス制御管理者のアクセス許可は少なくなります。[ メンバー ] タブで、デリゲートを見つけて選択します。
手順 3: 条件を追加する
条件を追加する方法は 2 つあります。 条件テンプレートを使用することも、高度な条件エディターを使用することもできます。
[ 条件 ] タブの [ ユーザーが実行できる操作] で、[ 選択したロールのみを選択したプリンシパルに割り当てることをユーザーに許可する (権限が少ない)] オプションを 選択します。
![制約付きオプションが選択された [ロールの割り当ての追加] のスクリーンショット。](media/shared/condition-constrained.png)
[ロールとプリンシパルを選択]を選択します。
[ロールの割り当て条件の追加] ページが表示され、条件テンプレートの一覧が表示されます。
条件テンプレートを選択し、[ 構成] を選択します。
条件テンプレート このテンプレートを選択する目的 ロールの制約 選択したロールの割り当てのみをユーザーに許可する ロールとプリンシパルの種類を制約する 選択したロールの割り当てのみをユーザーに許可する
選択したプリンシパルの種類 (ユーザー、グループ、またはサービス プリンシパル) にのみこれらのロールを割り当てることをユーザーに許可するロールとプリンシパルを制約する 選択したロールの割り当てのみをユーザーに許可する
選択したプリンシパルにのみこれらのロールを割り当てることをユーザーに許可する特定のロールを除くすべてのロールを許可する 選択したロールを除くすべてのロールの割り当てをユーザーに許可する [構成] ウィンドウで、必要な構成を追加します。
![選択内容が追加された条件の [構成] ウィンドウのスクリーンショット。](media/shared/condition-template-configure-pane.png)
[ 保存] を 選択して、ロールの割り当てに条件を追加します。
![制約付きオプションが選択された [ロールの割り当ての追加] のスクリーンショット。](media/shared/condition-constrained.png#lightbox)
条件テンプレートの一覧を含む [ロールの割り当の追加] 条件のスクリーンショット。![選択内容が追加された条件の [構成] ウィンドウのスクリーンショット。](media/shared/condition-template-configure-pane.png#lightbox)
![条件を使用してロールの割り当て管理を委任する [ビルド式] セクションのスクリーンショット。](media/shared/delegate-role-assignments-expression.png#lightbox)
手順 4: 委任する条件を持つロールを割り当てる
[Review + assign]\(確認と割り当て\) タブで、ロールの割り当ての設定を確認します。
[確認と割り当て] を選択してロールを割り当てます。
しばらくすると、代理人にはロールベースのアクセス制御管理者ロールがロールの割り当て条件と共に割り当てられます。
手順 5: 代理人が条件を持つロールを割り当てる
代理人は、手順に従って ロールを割り当てることができるようになりました。
代理人が Azure portal でロールを割り当てようとすると、ロールの一覧がフィルター処理され、割り当て可能なロールだけが表示されます。
プリンシパルに条件がある場合、割り当てに使用できるプリンシパルの一覧もフィルター処理されます。
デリゲートが API を使用して条件外のロールを割り当てようとすると、ロールの割り当てがエラーで失敗します。 詳細については、「 現象 - ロールを割り当てることができない」を参照してください。
条件を編集する
条件を編集する方法は 2 つあります。 条件テンプレートを使用することも、条件エディターを使用することもできます。
Azure portal で、表示、編集、または削除する条件を持つロールの割り当ての [アクセス制御 (IAM)] ページを開きます。
[ ロールの割り当て ] タブを選択し、ロールの割り当てを見つけます。
[条件] 列で、[表示/編集] を選択します。
[表示/編集] リンクが表示されない場合は、ロールの割り当てと同じスコープを確認してください。
![条件の [表示]/[編集] リンクを含むロールの割り当てリストのスクリーンショット。](media/shared/condition-role-assignments-list-edit.png)
[ ロールの割り当ての条件の追加] ページが表示されます。 このページは、条件が既存のテンプレートと一致するかどうかによって異なります。
条件が既存のテンプレートと一致する場合は、[ 構成 ] を選択して条件を編集します。
条件が既存のテンプレートと一致しない場合は、詳細条件エディターを使用して条件を編集します。
たとえば、条件を編集するには、下にスクロールしてビルド式セクションに移動し、属性、演算子、または値を更新します。
条件を直接編集するには、 コード エディターの種類を選択し、条件のコードを編集します。
完了したら、[ 保存 ] をクリックして条件を更新します。
![条件の [表示]/[編集] リンクを含むロールの割り当てリストのスクリーンショット。](media/shared/condition-role-assignments-list-edit.png#lightbox)
