次の方法で共有


ロールベースのアクセス制御を使用して Azure ローカル仮想マシンを管理する

適用対象: Azure Local バージョン 23H2

この記事では、ロールベースのアクセス制御 (RBAC) を使用して、Azure Local で実行されている Arc 仮想マシン (VM) へのアクセスを制御する方法について説明します。

組み込みの RBAC ロールを使用して、仮想ディスク、ネットワーク インターフェイス、VM イメージ、論理ネットワーク、ストレージ パスなどの VM と VM リソースへのアクセスを制御できます。 これらのロールは、ユーザー、グループ、サービス プリンシパル、マネージド ID に割り当てることができます。

組み込みの RBAC ロールについて

Azure Local 上の VM と VM リソースへのアクセスを制御するには、次の RBAC ロールを使用できます。

  • Azure Stack HCI 管理者 - このロールは、Azure ローカル インスタンスとそのリソースへのフル アクセスを許可します。 Azure Stack HCI 管理者は、システムを登録できるほか、Azure Stack HCI VM 共同作成者ロールと Azure Stack HCI VM 閲覧者ロールを他のユーザーに割り当てることができます。 また、論理ネットワーク、VM イメージ、ストレージ パスなどの共有リソースを作成することもできます。
  • Azure Stack HCI VM 共同作成者 - このロールは、VM の起動、停止、再起動など、すべての VM アクションを実行するためのアクセス許可を付与します。 Azure Stack HCI VM 共同作成者は、VM だけでなく、VM にアタッチされているリソースと拡張機能も作成および削除できます。 Azure Stack HCI VM 共同作成者は、システムを登録したり、他のユーザーにロールを割り当てたり、論理ネットワーク、VM イメージ、ストレージ パスなどのシステム共有リソースを作成したりすることはできません。
  • Azure Stack HCI VM 閲覧者 - このロールは、VM のみを表示するアクセス許可を付与します。 VM リーダーは、VM または VM のリソースと拡張機能に対してアクションを実行できません。

VM とさまざまな VM リソースに対して各ロールによって付与される VM アクションについて説明する表を次に示します。 VM リソースは、VM を作成するために必要なリソースと呼ばれ、仮想ディスク、ネットワーク インターフェイス、VM イメージ、論理ネットワーク、ストレージ パスが含まれます。

組み込みロール VM VM のリソース
Azure Stack HCI 管理者 VM の作成、一覧表示、削除

VM の起動、停止、再起動
論理ネットワーク、VM イメージ、ストレージ パスを含むすべての VM リソースを作成、一覧表示、削除する
Azure Stack HCI VM 共同作成者 VM の作成、一覧表示、削除

VM の起動、停止、再起動
論理ネットワーク、VM イメージ、ストレージ パスを除くすべての VM リソースを作成、一覧表示、削除する
Azure Stack HCI VM リーダー すべての VM を一覧表示する すべての VM リソースを一覧表示する

前提条件

作業を開始する前に、次の前提条件を満たしていることを確認してください。

  1. Azure Local の要件を満たしていることを確認

  2. ロールを他のユーザーに割り当てるために、所有者またはユーザー アクセス管理者として Azure サブスクリプションにアクセスできることを確認します。

RBAC ロールをユーザーに割り当てる

Azure portal を使用してユーザーに RBAC ロールを割り当てることができます。 RBAC ロールをユーザーに割り当てるには、次の手順に従います。

  1. Azure portal で、アクセス権を付与するスコープ (サブスクリプション、リソース グループ、特定のリソースの検索など) を検索します。 この例では、Azure Local がデプロイされているサブスクリプションを使用します。

  2. サブスクリプションに移動し、 Access コントロール (IAM) > ロールの割り当てに移動します。 上部のコマンド バーで、 + 追加 を選択し ロールの割り当ての追加を選択します。

    ロールを割り当てるアクセス許可がない場合は、 ロールの割り当ての追加 オプションが無効になります。

    Azure Portal での Azure Local の RBAC ロールの割り当てを示すスクリーンショット。

  3. Role タブで、割り当てる RBAC ロールを選択し、次のいずれかの組み込みロールから選択します。

    • Azure Stack HCI 管理者
    • Azure Stack HCI VM 共同作成者
    • Azure Stack HCI VM リーダー

    Azure ローカル インスタンスの Azure portal での RBAC ロールの割り当て中の [ロール] タブを示すスクリーンショット。

  4. Members タブで、ユーザー、グループ、またはサービス プリンシパルを選択。 また、ロールを割り当てるメンバーを選択します。

    Azure ローカル インスタンスの Azure portal でのロールの割り当て中に [メンバー] タブを示すスクリーンショット。

  5. ロールを確認して割り当てます。

    Azure ローカル インスタンスの Azure portal でのロールの割り当て中に [確認と割り当て] タブを示すスクリーンショット。

  6. ロールの割り当てを確認します。 アクセス制御 (IAM) > [アクセスの確認] >アクセス権の表示に移動します。 ロールの割り当てが表示されます。

    Azure ローカル インスタンスの Azure portal で新しく割り当てられたロールを示すスクリーンショット。

ロールの割り当ての詳細については、「 Azure portal を使用した Azure ロールの割り当て」を参照してください。

次のステップ