Azure Load Testing へのアクセスを管理する
この記事では、Azure ロード テスト リソースへのアクセス (認可) を管理する方法について説明します。 Azure ロールベースのアクセス制御 (Azure RBAC) は、Azure リソースへのアクセスを管理するために使用されます (新しいリソースの作成や既存のリソースの使用など)。 Azure portal、Azure コマンドライン ツール、Azure Management API を使用して、ロールベースのアクセス権をユーザーに付与できます。
前提条件
Azure ロールを割り当てるには、Azure アカウントに次が必要になります。
Microsoft.Authorization/roleAssignments/write
アクセス許可 (ユーザー アクセス管理者や所有者など)。
新しいロード テスト リソースを作成するには、Azure アカウントに次が必要です。
Azure Load Testing のロール
Azure Load Testing でアクセス権を付与するには、ロード テスト リソースのスコープのユーザー、グループ、アプリケーションに適切な Azure ロールを割り当てます。 ロード テスト リソースでサポートされる組み込みロールには、以下のものがあります。
Role | 説明 |
---|---|
ロード テスト閲覧者 | Load Testing リソースの読み取り専用アクション。 閲覧者は、リソース内のテストとテストの実行を一覧および表示できます。 閲覧者はテストを作成、更新、または実行できません。 |
ロード テスト共同作成者 | Load Testing リソースでのテストとテストの実行の表示、作成、編集、または削除 (該当する場合)。 |
ロード テスト所有者 | Load Testing リソースへのフル アクセス (リソース内の資産を表示、作成、編集、削除 (該当する場合) できることなど)。 たとえば、Load Testing リソースを変更または削除できます。 |
サブスクリプション レベルで所有者、共同作成者、またはロード テスト所有者ロールを持っている場合は、リソース レベルでロード テスト所有者と同じアクセス許可が自動的に付与されます。
重要
ロール アクセス権は、Azure の複数のレベルにスコープ指定できます。 たとえば、リソースへの所有者アクセス権を持つユーザーであっても、そのリソースが含まれるリソース グループへの所有者アクセス権を持っていないことがあります。 詳細については、「Azure RBAC のしくみ」を参照してください。
ロールのアクセス許可
以降の表は、各ロールに割り当てられている具体的なアクセス許可の説明です。 そのようにアクセス許可には、アクセス許可を与える Actions と、アクセス許可を制限する NotActions が含まれている場合があります。
ロード テスト所有者
ロード テスト所有者は、アクセス権を含めすべてを管理できます。 次の表は、このロールに付与されるアクセス許可を示しています。
アクション | 説明 |
---|---|
Microsoft.Resources/deployments/* | リソース グループ デプロイの作成と管理。 |
Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
Microsoft.Insights/alertRules/* | アラート ルールの作成と管理。 |
Microsoft.Authorization/*/read | 承認の読み取り。 |
Microsoft.LoadTestService/* | ロード テスト リソースを作成および管理します。 |
DataActions | 説明 |
---|---|
Microsoft.LoadTestService/loadtests/* | ロード テストを開始、停止、管理します。 |
ロード テスト共同作成者
ロード テスト共同作業者は、アクセス権以外のすべてを管理できます。 次の表は、このロールに付与されるアクセス許可を示しています。
アクション | 説明 |
---|---|
Microsoft.Resources/deployments/* | リソース グループ デプロイの作成と管理。 |
Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
Microsoft.Insights/alertRules/* | アラート ルールの作成と管理。 |
Microsoft.Authorization/*/read | 承認の読み取り。 |
Microsoft.LoadTestService/*/read | ロード テスト リソースを作成および管理します。 |
DataActions | 説明 |
---|---|
Microsoft.LoadTestService/loadtests/* | ロード テストを開始、停止、管理します。 |
ロード テスト閲覧者
ロード テスト閲覧者は、ロード テスト リソース内のすべてのリソースを表示できますが、変更を加えることはできません。 次の表は、このロールに付与されるアクセス許可を示しています。
アクション | 説明 |
---|---|
Microsoft.Resources/deployments/* | リソース グループ デプロイの作成と管理。 |
Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
Microsoft.Insights/alertRules/* | アラート ルールの作成と管理。 |
Microsoft.Authorization/*/read | 承認の読み取り。 |
Microsoft.LoadTestService/*/read | ロード テスト リソースを作成および管理します。 |
DataActions | 説明 |
---|---|
Microsoft.LoadTestService/loadtests/readTest/action | ロード テストを読み取ります。 |
ロード テスト リソース用に Azure RBAC を構成する
次のセクションでは、Azure portal と PowerShell を使用して、ロード テスト リソースに対して Azure RBAC を構成する方法について説明します。
Azure Portal を使用した Azure RBAC の構成
Azure portal にサインインし、Azure Load Testing ページからロード テスト リソースを開きます。
[アクセス制御 (IAM)] を選択し、使用可能なロールの一覧からロールを選択します。 Azure ロード テスト リソースでサポートされている、使用可能な任意の組み込みロールを選択することも、自分で定義した任意のカスタム ロールを選択することもできます。 アクセス許可を付与するユーザーにロールを割り当てます。
詳細な手順については、「Azure portal を使用して Azure ロールを割り当てる」を参照してください。
ユーザーからロールの割り当てを削除する
Azure ロード テスト リソースの管理に関与していないユーザーや既に組織を離れたユーザーについては、アクセス権を削除することができます。 次の手順では、ユーザーからロールの割り当てを削除する方法を示します。 詳細な手順については、「Azure ロールの割り当ての削除」を参照してください。
アクセス権を削除する管理グループ、サブスクリプション、リソース グループ、リソースなどのスコープで [アクセス制御 (IAM)] を開きます。
[ロールの割り当て] タブを選択して、このスコープのすべてのロールの割り当てを表示します。
ロールの割り当ての一覧で、ロールの割り当てを削除するユーザーの隣にチェックマークを追加します。
[削除] を選択してから、[はい] を選択して確定します。
PowerShell を使用した Azure RBAC の構成
ロード テスト リソースに対するロールベースのアクセスは、次の Azure PowerShell コマンドレットを使用して構成することもできます。
Get-AzRoleDefinition を使用すると、Microsoft Entra ID で利用できるすべての Azure ロールの一覧が表示されます。 このコマンドレットを Name パラメーターと共に使用すると、特定のロールで実行できるすべての操作を一覧表示できます。
Get-AzRoleDefinition -Name 'Load Test Contributor'
次のスニペットは出力例です。
Name : Load Test Contributor Id : 00000000-0000-0000-0000-000000000000 IsCustom : False Description : View, create, update, delete and execute load tests. View and list load test resources but can not make any changes. Actions : {Microsoft.LoadTestService/*/read, Microsoft.Authorization/*/read, Microsoft.Resources/deployments/*, Microsoft.Resources/subscriptions/resourceGroups/read…} NotActions : {} DataActions : {Microsoft.LoadTestService/loadtests/*} NotDataActions : {} AssignableScopes : {/}
Get-AzRoleAssignment を使用すると、特定のスコープにおける Azure ロールの割り当ての一覧が表示されます。 このコマンドレットにパラメーターを指定しなかった場合、対象サブスクリプションで行われたすべてのロールの割り当てが返されます。 指定したユーザーと、そのユーザーが属するグループへのアクセス権の割り当てを一覧表示するには、
ExpandPrincipalGroups
パラメーターを使用します。例: ロード テスト リソース内のすべてのユーザーとそのロールを一覧表示するには、次のコマンドレットを使用します。
Get-AzRoleAssignment -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.LoadTestService/loadtests/<Load Test Name>'
特定のスコープのユーザー、グループ、アプリケーションにアクセス権を割り当てるには、New-AzRoleAssignment を使用します。
例: ロード テスト リソースのスコープ内のユーザーに対して "ロード テスト閲覧者" ロールを割り当てるには、次のコマンドを使用します。
New-AzRoleAssignment -SignInName <sign-in Id of a user you wish to grant access> -RoleDefinitionName 'Load Test Reader' -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.LoadTestService/loadtests/<Load Testing resource name>'
Remove-AzRoleAssignment: 特定のスコープの指定したユーザー、グループ、またはアプリケーションのアクセス権を削除します。
例: ロード テスト リソースのスコープ内のロード テスト閲覧者ロールからユーザーを削除するには、次のコマンドを使用します。
Remove-AzRoleAssignment -SignInName <sign-in Id of a user you wish to remove> -RoleDefinitionName 'Load Test Reader' -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.LoadTestService/loadtests/<Load Testing resource name>'
トラブルシューティング
このセクションでは、Azure Load Testing でのユーザー アクセスに関する一般的な問題を解決する手順を示します。
You are not authorized to use this resource
でテストを作成または実行できない
Azure アカウントにテストの管理に必要なアクセス許可がない場合、このメッセージが表示されます。 ロード テスト リソースに対するロード テスト所有者またはロード テスト共同作成者ロールを必ずユーザーに付与してください。
関連するコンテンツ
- マネージド ID の使用の詳細を確認します。
- パフォーマンスのボトルネックの特定 (チュートリアル) に関する詳細を確認します。