IAM (Identity and Access Management) RBAC 5

azure
特殊なユーザ

Azureのサービスの中には、Azureポータルとは別の概念でユーザ管理するものがある
→ Azure DevOps
→ Azure Databricks
→ SQL Server

■DevOps

Azure DevOps とは - Azure DevOps
Azure DevOps の統合された機能セットの概要を確認して、アプリケーションをより迅速に計画、コーディング、共同作業、出荷できるようにします。

権限管理的にポイントとなるのは、DevOpsポータルがAzureポータルとは完全に分かれていること
→ Azure RBACとは別の概念でAzure DevOps独自のアクセス制御が必要
→ Azure ロールが付与されていなくても、Azure DevOps側で権限付与していれば、DevOpsは利用可能

ポータルが分かれるため、ユーザはAzure ADとAzure DevOpsの両方に存在する
→ ただし、Azure ADにユーザがいることが大前提

グループ ルールの追加、アクセス レベルの割り当て - Azure DevOps Services
Microsoft Entra ID と Azure DevOps でグループ ルールを使用してアクセス レベルを割り当てる方法について説明します。

グループルールを使えばADグループに追加されたユーザをDeVops側にも反映できる

■Azure Databricks

Azure Databricks とは - Azure Databricks
Azure Databricks Databricks データ インテリジェンス プラットフォームについて説明します。

Azure Databricks における Apache Spark - Azure Databricks
Azure Databricks と Azure Databricks プラットフォームで Apache Spark がどのように動作するかについて説明します。

ApacheSparkベースの分析プラットフォーム

権限管理的にポイントとなるのは、DatabricksポータルがAzureポータルとは完全に分かれていること
→ Azure RBACとは別の概念でDatabricks独自のアクセス制御が必要
→ Azure ロールが付与されていなくても、Databricks側で権限付与していれば、Databricksポータルは利用可能

ポータルが分かれるため、ユーザはAzure ADとDatabricksの両方に存在する
→ ただし、Azure ADにユーザがいることが大前提

ユーザ作成は、Azure AD -> Databricksという順番でも、Databricksから作成も可能
アプリケーションからDatabricksを操作するには、Databricks REST API にアクセスする

トークンには、以下3種類があり、サービスプリンシパルをベストプラクティスとしている
サービスプリンシパル アクセストークン
個人用 アクセストークン
Azure ADトークン

■SQL Server
サーバ管理者でCREATE DATABASEを実行すると、SQL Databaseが作成される
サーバ管理者にはAzure ロールを付与していないにも関わらず、Azureリソースが作成

課金が発生するSQL Databaseを作成させたくない場合は、サーバ管理者ではなく、データベースの管理者ユーザを別途作成して貸与することを検討

このあたりは担当外な気がして全然さわらないかも・・・

コメント

タイトルとURLをコピーしました