VPN 用のロールとアクセス許可について
VPN は、作成操作と管理操作の両方で、仮想ネットワークや IP アドレスなどの複数のリソースを利用します。 このため、これらの操作中に関係するすべてのリソースに対するアクセス許可を確認することが不可欠です。
Azure 組み込みロール
Azure 組み込みロールをユーザー、グループ、サービス プリンシパル、またはマネージド ID (ゲートウェイの作成に必要なすべてのアクセス許可をサポートするネットワーク共同作成者など) に割り当てることができます。 詳細については、Azure ロールを割り当てる手順を参照してください。
カスタム ロール
Azure の組み込みロールが組織の特定のニーズを満たさない場合は、独自のカスタム ロールを作成することができます。 組み込みロールと同様に、カスタム ロールは、ユーザー、グループ、サービス プリンシパルに対して、管理グループ、サブスクリプション、およびリソース グループのスコープで割り当てることができます。 詳細については、カスタム ロールを作成する手順を参照してください。
適切な機能を確保するため、ご自分のカスタム ロールのアクセス許可をチェックして、ユーザー サービス プリンシパルと、VPN ゲートウェイを操作するマネージド ID に必要なアクセス許可があることを確認してください。 ここに記載されている不足しているアクセス許可を追加するには、「カスタム ロールの更新」を参照してください。
アクセス許可
新しいリソースを作成するか、既存のリソースを使用するかに応じて、次の一覧から適切なアクセス許可を追加します。
| リソース | リソースの状態 | 必要な Azure アクセス許可 |
|---|---|---|
| Subnet | 新規作成 | Microsoft.Network/virtualNetworks/subnets/write Microsoft.Network/virtualNetworks/subnets/join/action |
| Subnet | [既存のものを使用] | Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/subnets/join/action |
| IP アドレス | 新規作成 | Microsoft.Network/publicIPAddresses/write Microsoft.Network/publicIPAddresses/join/action |
| IP アドレス | [既存のものを使用] | Microsoft.Network/publicIPAddresses/read Microsoft.Network/publicIPAddresses/join/action |
| ローカル ネットワーク ゲートウェイ | 新規作成/既存の更新 | Microsoft.Network/localnetworkgateways/write |
| つながり | 新規作成/既存の更新 | Microsoft.Network/connections/write |
| Azure VPN Gateway | 新規作成/既存の更新 | Microsoft.Network/localnetworkgateways/write Microsoft.Network/publicIPAddresses/join/action Microsoft.Network/virtualNetworks/subnets/join/action |
詳細については、「ネットワーク用の Azure のアクセス許可」と仮想ネットワークのアクセス許可に関する記事を参照してください。
ロールのスコープ
カスタム ロール定義のプロセスでは、管理グループ、サブスクリプション、リソース グループ、リソースの 4 つのレベルでロールの割り当てスコープを指定できます。 アクセス権を付与するには、特定のスコープでユーザー、グループ、サービス プリンシパル、またはマネージド ID にロールを割り当てます。
これらのスコープは親子関係で構成され、階層の各レベルによってスコープがより具体的になります。 これらのスコープ レベルのいずれかでロールを割り当てることができ、選択したレベルによって、ロールの適用範囲が決まります。
たとえば、サブスクリプション レベルで割り当てられたロールは、そのサブスクリプション内のすべてのリソースにカスケードダウンできますが、リソース グループ レベルで割り当てられたロールは、その特定のグループ内のリソースにのみ適用されます。 スコープ レベルについて詳しく学びます。詳細については、「スコープ レベル」を参照してください。
Note
ロールの割り当てが変更された後、Azure Resource Manager のキャッシュの更新には、十分な時間を確保してください。
追加サービス
他のサービスのロールとアクセス許可を表示するには、次のリンクを参照してください。