はじめに
- Azure環境を運用していくうえで基本的に設定するAzure ロールとMicrosoft EntraID(旧AzureAD)ロールについて調査したことがあったので、それをまとめてみました。
- もちろん権限周りの設定はAzureに限らず、どのクラウドにも当てはまります。本記事では触れませんが余裕があれば、AWS等も取り扱います。
Azureロールについて
- Microsoftの推奨としては職務に必要なアクセス許可のみをユーザーに付与することです。当たり前だと思われますが、意外と権限周りの設定は意識しないと忘れがちな面もあります。
- ロールの設定は様々あります。
Azure RBAC
- Azureロールベースのアクセス制御 (Azure RBAC) は各リソースへのアクセスを管理するものです。(AppServiceやストレージアカウントなどのAzureサービスが対象)
- Azure RBACにより、ユーザーやグループに対して特定のアクションとスコープで権限を付与でき、アクセス管理を簡素化することができます。
- Azure RBACを使用することでセキュリティを強化し、不正アクセスや誤操作を防止する役割を持ちます。
組み込みロールについて
- Azure RBACでは組み込みロールが用意されており、特定の操作を実行するための権限が定義されています。
- 組み込みロール一覧
https://learn.microsoft.com/ja-jp/azure/role-based-access-control/built-in-roles
カスタムロール
- 組み込みロールでは満たせない特定のニーズに対応するために作成できる機能です。
- サーバーだけを管理することやストレージだけにアクセスできるようにするなど、ニーズに合わせた細かいロールを作成できます。
Microsoft Entra ID のロールについて
- Microsoft Entra ID のロールは、Microsoft Entra IDリソースへのアクセスを管理します。
- ユーザー、グループ、アプリケーションなどのID管理に関連するリソースが対象です。
- Microsoftの推奨は必要最小限の特権での管理です。
- ユーザーごとに必要な権限を割り当てることで適切なリソースのみにアクセスさせ、無駄なリスクを避けることができます。
組み込みロールについて
- 事前に定義された固定の権限セットを使用することができます。
カスタムロール
- 特定のニーズに合わせて独自のカスタムロールを作成することができます。
組み込みロール一覧
- 長くなるので下記のMicrosoftのDocs参照。
https://learn.microsoft.com/ja-jp/entra/identity/role-based-access-control/permissions-reference
緊急アクセス用管理アカウントについて
- 緊急アクセス用アカウントは組織がMicrosoft Entra IDから誤ってロックアウトされるのを防ぐために使用されます。通常の管理者アカウントが使用できない場合などの緊急事態に限定して使用します。
推奨事項
- Microsoftの推奨は組織(テナント)ごとに少なくとも2つの緊急用アカウントを作成すること&アカウントの資格情報は信頼できる個人で分割して管理することです。ただ、企業ごとに情報セキュリティルールは異なるので、必ずその情報セキュリティルールを遵守するようにしてください。
使用シナリオ
1.管理者の認証デバイスが全て使用できない場合
2.最後のグローバル管理者が組織から離れた場合
3.自然災害などの予期せぬ状況
参考URL
ロールの比較
- 簡単に主に使用されるであろうロールの比較をまとめてみました。
| Azureロール | MicrosoftEntraロール | |
|---|---|---|
| 目的 | Azureリソースの操作と管理 | Azure Entra ID内のユーザー、グループ、アプリケーションの管理 |
| 用途 | リソース作成・管理 | ID管理、認証管理、セキュリティポリシー管理 |
| スコープの範囲 | サブスクリプション、リソースグループ、リソース | テナント |
ロールの設定例
- ロールの設定例を紹介します。
Entraロールの設定例
| ユーザー/グループ | ロール | 用途 |
|---|---|---|
| 緊急アクセスアカウント | グローバル管理者 | 不測の事態に備えて使用 |
| 管理者(PMなど) | グローバル管理者 | 全ての管理機能にアクセスできる権限を使用 |
| 開発要員など | アプリケーション管理者 | Entra IDの「アプリの登録」のシークレット登録などに使用 |
| 開発要員など | KeyVault管理者 | KeyVaultのシークレット設定などに使用 |
Azure ロールの設定例
| ユーザー/グループ | ロール | 用途 |
|---|---|---|
| 管理者 | 所有者 | 全体を管理できる権限を使用 |
| インフラ要員や開発要員 | 共同作成者 | リソースの閲覧・作成・設定変更に使用 |
| エンジニア初心者 | 閲覧者 | リソースに対する閲覧権限のみ使用 |
まとめ
- ロールの設定はPM層などの管理者がどのように権限を割り振るかが運用上やセキュリティ上非常に重要になります。今回は設定例を上げましたので、参考になれば幸いです。
参考URL
Microsoft Entra ID のロールについて
Azure 組み込みロール
Microsoft Entra ロールのベスト プラクティス
Microsoft Entra ID で緊急アクセス用管アカウントを管理する
Azure ロールベースのアクセス制御
Microsoft Entra 組み込みロール一覧
Azure ロール、Microsoft Entra ロール、従来のサブスクリプション管理者ロール
Azure 組み込みロール一覧
Azure カスタムロール
Discussion