Chaos Studio でサポートされているリソースの種類とロールの割り当て
次の表は、障害でサポートされているリソースの種類、ターゲットの種類、およびそのリソースの種類に実験の権限を付与するときに使用が推奨されるロールの一覧です。
ロールの割り当ての詳細については、「Azure の組み込みロールのページ」を参照してください。
| リソースの種類 | ターゲット名/種類 | 割り当てが推奨されるロール |
|---|---|---|
| Microsoft.Cache/Redis (サービス直接) | Microsoft-AzureCacheForRedis | Redis Cache Contributor |
| Microsoft.ClassicCompute/domainNames (service-direct) | Microsoft-DomainNames | Classic Virtual Machine Contributor |
| Microsoft.Compute/virtualMachines (エージェントベース) | Microsoft-Agent | Reader |
| Microsoft.Compute/virtualMachineScaleSets (エージェントベース) | Microsoft-Agent | Reader |
| Microsoft.Compute/virtualMachines (サービス直接) | Microsoft-VirtualMachine | Virtual Machine Contributor |
| Microsoft.Compute/virtualMachineScaleSets (サービス直接) | Microsoft-VirtualMachineScaleSet | Virtual Machine Contributor |
| Microsoft.ContainerService/managedClusters (サービス直接) | Microsoft-AzureKubernetesServiceChaosMesh (推奨) | Azure Kubernetes Service RBAC 管理者ロールと Azure Kubernetes Service クラスター ユーザー ロール |
| Microsoft.ContainerService/managedClusters (サービス直接) | Microsoft-AzureKubernetesServiceChaosMesh (Kubernetes ローカル アカウントのみの障害バージョン 2.1) | Azure Kubernetes Service クラスター管理者ロール |
| Microsoft.DocumentDb/databaseAccounts (Cosmos DB、サービス直接) | Microsoft-Cosmos DB | Cosmos DB オペレーター |
| Microsoft.Insights/autoscalesettings (service-direct) | Microsoft-AutoScaleSettings | Web Plan Contributor |
| Microsoft.KeyVault/vaults (service-direct) | Microsoft-KeyVault | Azure Key Vault の共同作成者 |
| Microsoft.Network/networkSecurityGroups (サービス直接) | Microsoft-NetworkSecurityGroup | Network Contributor |
| Microsoft.Web/sites (service-direct) | Microsoft-AppService | Website Contributor |
| Microsoft.ServiceBus/namespaces (サービス直接) | Microsoft-ServiceBus | Azure Service Bus データ所有者 |
| Microsoft.EventHub/namespaces (サービス直接) | Microsoft-EventHub | Azure Event Hubs データ所有者 |
| Microsoft.LoadTestService/loadtests (service-direct) | Microsoft-AzureLoadTest | ロード テスト共同作成者 |
カスタム役割の操作
一覧表示されている組み込みロールを使用しない場合は、カスタム役割を作成し、障害ごとに必要な正確な操作を割り当てることができます。 これには、2 つの方法があります。
Azure portal 内で実験を作成するときに、[アクセス許可] タブで [カスタム役割の作成と割り当てを有効にする] を選択すると、Chaos Studio が必要な操作を持つカスタム役割をデプロイできるようになります。
または、Azure portal を使用していない場合、または操作を個別に管理する場合は、各障害に必要な操作を見つけて、カスタム役割に手動で割り当てることができます。 Chaos Studio 障害に必要なロールを確認するには、次の Azure CLI REST コマンドを実行します。
az rest --method get --uri https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/providers/Microsoft.Chaos/locations/eastus/targetTypes/$TARGET_TYPE/capabilityTypes/$CAPABILITY_NAME?api-version=2024-01-01
例として、Cosmos DB フェールオーバー障害の properties.azureRbacActions と properties.azureRbacDataActions を参照してください。
> az rest --method get --url "https://management.azure.com/subscriptions/$SUBSCRIPTION_ID/providers/Microsoft.Chaos/locations/eastus/targetTypes/Microsoft-CosmosDB/capabilityTypes/Failover-1.0?api-version=2024-01-01"
{
"id": "/subscriptions/$SUBSCRIPTION_ID/providers/Microsoft.Chaos/locations/eastus/targetTypes/CosmosDB/capabilityTypes/Failover-1.0",
"location": "eastus",
"name": "Failover-1.0",
"properties": {
"azureRbacActions": [
"Microsoft.DocumentDB/databaseAccounts/read",
"Microsoft.DocumentDB/databaseAccounts/failoverPriorityChange/action"
],
"azureRbacDataActions": null,
"description": "",
"displayName": "",
"kind": "Fault",
"parametersSchema": "https://schema-tc.eastus.chaos-prod.azure.com/targetTypes/Microsoft-CosmosDB/capabilityTypes/Failover-1.0/parametersSchema.json",
"publisher": "Microsoft",
"runtimeProperties": {
"kind": "Continuous"
},
"targetType": "CosmosDB",
"urn": "urn:csci:microsoft:cosmosDB:failover/1.0"
},
"systemData": {
"createdAt": "2024-10-10T17:28:41.7377834+00:00",
"createdByType": "Application",
"lastModifiedAt": "2024-10-10T17:28:41.7377834+00:00"
},
"type": "Microsoft.Chaos/locations/targetTypes/capabilityTypes"
}