ロールベースのアクセス制御を使用して Azure ローカル仮想マシンを管理する
適用対象: Azure Local バージョン 23H2
この記事では、ロールベースのアクセス制御 (RBAC) を使用して、Azure Local で実行されている Arc 仮想マシン (VM) へのアクセスを制御する方法について説明します。
組み込みの RBAC ロールを使用して、仮想ディスク、ネットワーク インターフェイス、VM イメージ、論理ネットワーク、ストレージ パスなどの VM と VM リソースへのアクセスを制御できます。 これらのロールは、ユーザー、グループ、サービス プリンシパル、マネージド ID に割り当てることができます。
組み込みの RBAC ロールについて
Azure Local 上の VM と VM リソースへのアクセスを制御するには、次の RBAC ロールを使用できます。
- Azure Stack HCI 管理者 - このロールは、Azure ローカル インスタンスとそのリソースへのフル アクセスを許可します。 Azure Stack HCI 管理者は、システムを登録できるほか、Azure Stack HCI VM 共同作成者ロールと Azure Stack HCI VM 閲覧者ロールを他のユーザーに割り当てることができます。 また、論理ネットワーク、VM イメージ、ストレージ パスなどの共有リソースを作成することもできます。
- Azure Stack HCI VM 共同作成者 - このロールは、VM の起動、停止、再起動など、すべての VM アクションを実行するためのアクセス許可を付与します。 Azure Stack HCI VM 共同作成者は、VM だけでなく、VM にアタッチされているリソースと拡張機能も作成および削除できます。 Azure Stack HCI VM 共同作成者は、システムを登録したり、他のユーザーにロールを割り当てたり、論理ネットワーク、VM イメージ、ストレージ パスなどのシステム共有リソースを作成したりすることはできません。
- Azure Stack HCI VM 閲覧者 - このロールは、VM のみを表示するアクセス許可を付与します。 VM リーダーは、VM または VM のリソースと拡張機能に対してアクションを実行できません。
VM とさまざまな VM リソースに対して各ロールによって付与される VM アクションについて説明する表を次に示します。 VM リソースは、VM を作成するために必要なリソースと呼ばれ、仮想ディスク、ネットワーク インターフェイス、VM イメージ、論理ネットワーク、ストレージ パスが含まれます。
組み込みロール | VM | VM のリソース |
---|---|---|
Azure Stack HCI 管理者 | VM の作成、一覧表示、削除 VM の起動、停止、再起動 |
論理ネットワーク、VM イメージ、ストレージ パスを含むすべての VM リソースを作成、一覧表示、削除する |
Azure Stack HCI VM 共同作成者 | VM の作成、一覧表示、削除 VM の起動、停止、再起動 |
論理ネットワーク、VM イメージ、ストレージ パスを除くすべての VM リソースを作成、一覧表示、削除する |
Azure Stack HCI VM リーダー | すべての VM を一覧表示する | すべての VM リソースを一覧表示する |
前提条件
作業を開始する前に、次の前提条件を満たしていることを確認してください。
ロールを他のユーザーに割り当てるために、所有者またはユーザー アクセス管理者として Azure サブスクリプションにアクセスできることを確認します。
RBAC ロールをユーザーに割り当てる
Azure portal を使用してユーザーに RBAC ロールを割り当てることができます。 RBAC ロールをユーザーに割り当てるには、次の手順に従います。
Azure portal で、アクセス権を付与するスコープ (サブスクリプション、リソース グループ、特定のリソースの検索など) を検索します。 この例では、Azure Local がデプロイされているサブスクリプションを使用します。
サブスクリプションに移動し、 Access コントロール (IAM) > ロールの割り当てに移動します。 上部のコマンド バーで、 + 追加 を選択し ロールの割り当ての追加を選択します。
ロールを割り当てるアクセス許可がない場合は、 ロールの割り当ての追加 オプションが無効になります。
Role タブで、割り当てる RBAC ロールを選択し、次のいずれかの組み込みロールから選択します。
- Azure Stack HCI 管理者
- Azure Stack HCI VM 共同作成者
- Azure Stack HCI VM リーダー
Members タブで、ユーザー、グループ、またはサービス プリンシパルを選択。 また、ロールを割り当てるメンバーを選択します。
ロールを確認して割り当てます。
ロールの割り当てを確認します。 アクセス制御 (IAM) > [アクセスの確認] >アクセス権の表示に移動します。 ロールの割り当てが表示されます。
ロールの割り当ての詳細については、「 Azure portal を使用した Azure ロールの割り当て」を参照してください。