[Azure] 従来の管理者ロールの廃止(2024/8予定)
はじめに
Azureの「従来の管理者ロール」のリタイアについて、改めてアナウンスされました。そもそも自分が使ってるんだっけ?なくなったら困るんだっけ?みたいな話もありつつ、最近Azureを使い出した人にとってはあまり意識もしてないと思いますので、まとめておきたいと思います。
今回のUpdate情報
下記のUpdateにて、 従来の管理者ロールである「共同管理者」と「サービス管理者」の廃止までの予定がアナウンスされました。
ポイントは3点ほどあります。
- 2024/4/3をもって、「従来の管理者ロール」を新たに付与することができなくなる。
- 2024/8/31をもって、「従来の管理者ロール」が廃止される。
- 廃止までに、Azure RBACに移行すること。
「従来の管理者ロール」とは
AzureとAzure AD(Entra ID)ロールについて、以前解説したことがあります。結構前の記事ですが、今でも継続的にかなりアクセスがあるので、この辺りの知識で迷うことが多いのでしょう・・・。
ところで、この記事では意図的に端折った説明があり、それが「従来のサブスクリプション管理者ロール」です。
何年も前から非推奨になっていたのですが、今回のupdateはこれが廃止なる、というものです。
ポイント① 権限の比較
サービス管理者
サービス管理者は、サブスクリプションの管理を行うロールです。
- サブスクリプションに対して、Azure RBACの「所有者」と同等の権限を持ちます。(すなわちフル権限です)
- サブスクリプションの取り消しを行うことができます。
- サブスクリプションにつき1名存在します。
- 共同管理者を任命することができます。
共同管理者
共同管理者は、サービス管理者の権限の一部を保有しているロールです。違いとしてドキュメントに挙げられているものは以下の通りです。
- サブスクリプションとEntra IDテナントの紐付けを変更することはできません。
- サービス管理者を変更することはできません
- サブスクリプションにつき200名まで設定できます。
どちらのロールも、サブスクリプションに対しては現在のRBACでいうところの「所有者」ロールと同等の権限を持ちますので、あらゆるリソースの作成・変更・削除などが可能である・・・ということです。
移行方法
コチラの記事を参考にして、代わりのRBAC設定を実施した上で、従来の管理者ロールの削除を行います。
ポイント② 必要な権限を考える
ポイント①で記載した通り、共同管理者やサービス管理者は「所有者」と同等の権限を持つため、何も考えなければ所有者ロールを付与することになります。
しかし、本番運用されるAzure環境において「所有者」権限はまず必要ありません。特権ユーザーとして、通常の運用は行わないユーザー若干名(2名程度)を所有者に設定し、その他のユーザーには適切に権限を絞ったロールを付与することが推奨されます。
所有者を2名以上にするのは、人事異動や不慮の事故などで所有者ユーザーでログイン出来なくなることを避けるためです。いざという時に誰も操作出来ない、ということでは困りますよね。
また、「適切に権限を絞ったロール」のユーザーも、所有者とまではいかなくても特権が必要になることはままあります。その場合はPIMという機能を使って一時的に権限を付与するようにするのが原則です。たまに使うから・・・といって常に高権限を割り当てておくことは、事故の元ですし統制面でも脆弱になるため、推奨されません。
おわりに
今回のUpdateは、「サブスクリプション用の権限を古い仕組みから新しい仕組みに切り替えよう」という単純なものですが、せっかくの機会なので特権をそのまま移行するのではなく、このタイミングで見直してみましょう。
Discussion