次の方法で共有


条件を使用して Azure ロールの割り当て管理を委任する例

この記事では、条件を使用して Azure ロールの割り当て管理を他のユーザーに委任する方法の例を示します。

前提条件

ロールの割り当て条件を追加または編集するための前提条件の詳細については、条件の前提条件に関するページを参照してください。

例: ロールを制約する

この条件により、代理人は、バックアップ共同作成者またはバックアップ閲覧者ロールのロールの割り当てを追加または削除できます。

この条件は、次のアクションを含むデリゲートのロールの割り当てに追加する必要があります。

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

バックアップ共同作成者またはバックアップ閲覧者ロールに制約されたロール割り当ての図。

Azure portal と条件テンプレートを使用してこの条件を追加する設定を次に示します。

状態 設定
Template ロールの制約
ロール Backup Contributor
Backup Reader

例: ロールとプリンシパルの種類を制約する

この条件により、代理人は、バックアップ共同作成者またはバックアップ閲覧者ロールのロールの割り当てを追加または削除できます。 また、デリゲートは、ユーザーまたはグループの種類のプリンシパルにのみこれらのロールを割り当てることができます。

この条件は、次のアクションを含むデリゲートのロールの割り当てに追加する必要があります。

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

バックアップ共同作成者またはバックアップ閲覧者ロールと、ユーザーまたはグループのプリンシパルの種類に制約されたロール割り当ての図。

Azure portal と条件テンプレートを使用してこの条件を追加する設定を次に示します。

状態 設定
Template ロールとプリンシパルの種類を制約する
ロール Backup Contributor
Backup Reader
プリンシパルの種類 ユーザー
グループ

例: ロールと特定のグループを制約する

この条件により、代理人は、バックアップ共同作成者またはバックアップ閲覧者ロールのロールの割り当てを追加または削除できます。 また、代理人はこれらのロールを "Marketing" (28c35fea-2099-4cf5-8ad9-473547bc9423) または "Sales" (86951b8b-723a-407b-a74a-1bca3f0c95d0) という名前の特定のグループにのみ割り当てることができます。

この条件は、次のアクションを含むデリゲートのロールの割り当てに追加する必要があります。

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

バックアップ共同作成者またはバックアップ閲覧者ロールと、マーケティング グループまたは販売グループに制約されたロール割り当ての図。

Azure portal と条件テンプレートを使用してこの条件を追加する設定を次に示します。

状態 設定
Template ロールとプリンシパルを制約する
ロール Backup Contributor
Backup Reader
プリンシパル マーケティング
Sales

例: 仮想マシンの管理を制約する

この条件により、デリゲートは、仮想マシン管理者ログインまたは仮想マシン ユーザー ログイン ロールのロールの割り当てを追加または削除できます。 また、デリゲートは、"Dara" (ea585310-c95c-4a68-af22-49af4363bbb1) という名前の特定のユーザーにのみこれらのロールを割り当てることができます。

この条件は、先ほど作成した仮想マシンに対して、デリゲートが自身に仮想マシン ログイン ロールを割り当てることができるようにする場合に便利です。

この条件は、次のアクションを含むデリゲートのロールの割り当てに追加する必要があります。

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

仮想マシン管理者ログインまたは仮想マシン ユーザー ログイン ロール、および特定のユーザーに制約されたロール割り当ての図。

Azure portal と条件テンプレートを使用してこの条件を追加する設定を次に示します。

状態 設定
Template ロールとプリンシパルを制約する
ロール Virtual Machine Administrator Login
Virtual Machine User Login
プリンシパル Dara

例: AKS クラスターの管理を制約する

この条件により、デリゲートは、Azure Kubernetes Service RBAC 管理者Azure Kubernetes Service RBAC クラスター管理者Azure Kubernetes Service RBAC 閲覧者、または Azure Kubernetes Service RBAC ライター ロールのロールの割り当てを追加または削除できます。 また、デリゲートは、"Dara" (ea585310-c95c-4a68-af22-49af4363bbb1) という名前の特定のユーザーにのみこれらのロールを割り当てることができます。

この条件は、作成したばかりのクラスターに対して、デリゲートが Azure Kubernetes Service (AKS) クラスター データ プレーン承認ロールを自身に割り当てることができるようにする場合に便利です。

この条件は、次のアクションを含むデリゲートのロールの割り当てに追加する必要があります。

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

Azure Kubernetes Service RBAC 管理者、Azure Kubernetes Service RBAC クラスター管理者、Azure Kubernetes Service RBAC 閲覧者、または Azure Kubernetes Service RBAC ライター ロール、および特定のユーザーに制約されたロール割り当ての図。

Azure portal と条件テンプレートを使用してこの条件を追加する設定を次に示します。

例: ACR の管理を制約する

この条件により、代理人は、AcrPull ロールのロールの割り当てを追加または削除できます。 また、デリゲートは、サービス プリンシパルの種類のプリンシパルにのみこれらのロールを割り当てることができます。

この条件は、Azure Container Registry (ACR) からイメージをプルできるように、開発者がマネージド ID 自体に AcrPull ロールを割り当てることができるようにする場合に便利です。

この条件は、次のアクションを含むデリゲートのロールの割り当てに追加する必要があります。

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

AcrPull ロールおよびサービス プリンシパルの種類に制約されたロール割り当ての図。

Azure portal と条件テンプレートを使用してこの条件を追加する設定を次に示します。

状態 設定
Template ロールとプリンシパルの種類を制約する
ロール AcrPull
プリンシパルの種類 サービス プリンシパル

例: ロールの割り当ての追加を制約する

この条件により、代理人は、バックアップ共同作成者またはバックアップ閲覧者ロールのロールの割り当てを追加できます。 代理人は任意のロールの割り当てを削除できます。

この条件は、次のアクションを含むすべてのロール割り当てに追加する必要があります。

  • Microsoft.Authorization/roleAssignments/write

バックアップ共同作成者またはバックアップ閲覧者ロールに制約されたロール割り当ての追加と削除の図。

なし

例: ほとんどのロールを許可するが、他のユーザーにロールの割り当てを許可しない

この条件により、デリゲートは、所有者ロール ベースのアクセスの制御の管理者、およびユーザー アクセス管理者ロールを除くすべてのロールに対してロールの割り当てを追加または削除できます。

この条件は、代理人にほとんどのロールの割り当てを許可するが、他のユーザーにロールの割り当てを許可しない場合に便利です。

Note

この条件の使用には注意が必要です。 ロールの割り当てを作成するアクセス許可を含む新しい組み込みロールまたはカスタム ロールが後で追加された場合、この条件では、代理人がロールを割り当てなくなります。 新しい組み込みロールまたはカスタム ロールを含めるには、条件を更新する必要があります。

この条件は、次のアクションを含むデリゲートのロールの割り当てに追加する必要があります。

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

所有者、ロール ベースのアクセスの制御の管理者、およびユーザー アクセス管理者ロールを除くすべてのロールに対するロールの割り当ての追加および削除の図。

Azure portal と条件テンプレートを使用してこの条件を追加する設定を次に示します。

状態 設定
Template 特定のロールを除くすべてのロールを許可する
ロールを除外する 所有者
ロール ベースのアクセスの制御の管理者
User Access Administrator

次のステップ