IAM (Identity and Access Management) RBAC 3

azure
RBAC続き
Azure拒否割り当てという機能がありAzureロールでもアクセス許可されてても
操作を禁止することができるらしいhttps://learn.microsoft.com/ja-jp/azure/role-based-access-control/deny-assignments

サポートリクエスト共同作成者等のサブスクリプション スコープで付与しないと機能しないAzure ロールもあるらしい

Azure サポート要求を作成する方法 - Azure supportability
サポートが必要なお客様は、Azure portal を使用して、セルフサービス ソリューションを見つけたり、サポート リクエストを作成および管理したりできます。
learn.microsoft.com
カスタムロール
Azure カスタム ロール - Azure RBAC
Azure リソースの詳細なアクセス管理を行うために、Azure ロールベースのアクセス制御 (Azure RBAC) を使用して Azure カスタム ロールを作成する方法について説明します。
learn.microsoft.com

組み込みロールでは実現できないアクセス制御を実施したい場合に作成するエンプラユーザでは多そうなのでメモ

Azureポータル、Azure PowerShell、Azure CLIから作成可能だが、JSON管理でのAzure CLIがおススメらしい

基本はリソースプロバイダの操作から引用するがこれが魔境らしい。。

Azure のアクセス許可 - Azure RBAC
Azure リソース プロバイダーのアクセス許可を一覧表示します。
learn.microsoft.com

必要になったらこれみてグリグリ実装するか。。

マネージドID、サービスプリンシパル

VM上のスクリプトで他のVMの停止、起動、バックアップを操作させたい場合
→VMにマネージドIDを付与外部サービスからメトリックやログを取得したい場合
→サービスプリンシパルを付与マネージドIDのほうがセキュアらしくマネージドIDが利用可能な場合はマネージドIDを利用するhttps://learn.microsoft.com/ja-jp/azure/active-directory/managed-identities-azure-resources/managed-identities-status

サービスプリンシパルはテナントID、アプリケーションID、認証キーの3種類が必要となり、どうしても漏洩のリスクがある

マネージドIDの種類

・システム割り当てとユーザ割り当ての2種類がある

Azure リソースのマネージド ID - Managed identities for Azure resources
Azure リソースのマネージド ID の概要。
learn.microsoft.com

システム割り当てはリソースに対して直接マネージドIDを付与する
※リソースとマネージドIDが1対1

マネージドIDは、ユーザと同じように扱えるため、例えばADグループへ所属させることも可能

ユーザ割り当てはリソースとは独立してマネージドIDを作成し、複数のリソースに対して付与することが可能

※APサーバが3台、3台にシステム割り当てを付与するより、1つのユーザ割り当てを3台に付与するほうが効率的、システム割り当てと異なり1リソースに複数のユーザ割り当てを付与することが可能
サービスプリンシパル

AzureADに登録をすることによってアプリケーションIDと認証キーをは発行

Microsoft Entra アプリを登録し、サービス プリンシパルを作成する - Microsoft identity platform
Azure Resource Manager でロールベースのアクセス制御を使用してリソースへのアクセスを管理するために、新しいMicrosoft Entra アプリとサービス プリンシパルを作成します。
learn.microsoft.com

この認証キーは発行じのみ取得可能、またはデフォ2年のため無期限のものが欲しければ
AzureCLIから作成すると延ばせるらしい(いずれ2年に修正されるという情報)

コメント

タイトルとURLをコピーしました