[Remediation](修復) ダッシュボードでロール/ポリシーを作成する
この記事では、Microsoft Entra Permissions Management で [Remediation](修復) ダッシュボードを使用して、アマゾン ウェブ サービス (AWS)、Microsoft Azure、または Google Cloud Platform (GCP) の認可システム用に、ロール/ポリシーを作成する方法について説明します。
Note
[Remediation] (修復) タブを表示するには、閲覧者、コントローラー、または管理者のアクセス許可が必要です。 このタブで変更を行うには、[Controller](コントローラー) または [Administrator](管理者) のアクセス許可が必要です。 これらのアクセス許可を持っていない場合は、システム管理者に連絡してください。
Note
Microsoft Azure では、他のクラウド プロバイダーで "ポリシー" と呼ばれているものに対して "ロール" という用語が使用されます。 認可システムの種類を選択すると、Permissions Management によってこの用語変更が自動的に行われます。 ユーザー ドキュメントでは、"ロール/ポリシー" を使用して両方を参照します。
AWS のポリシーを作成する
Note
AWS サービス クォータについて、および AWS サービス クォータの引き上げの要求については、AWS のドキュメントを参照してください。
Microsoft Entra のホーム ページで、[修復] タブ、[ロール/ポリシー] タブの順に選択します。
ドロップダウン リストを使用して、[Authorization System Type](認可システムの種類) と [Authorization System](認可システム) を選択します。
[ポリシーを作成する] を選択します。
[Details](詳細) ページで、[Authorization System Type](認可システムの種類) と [Authorization System](認可システム) は、前の設定から事前に設定されています。
- 設定を変更するには、ドロップダウンから選択します。
[How Would You Like To Create The Policy](ポリシーの作成方法) で、必要なオプションを選択します。
- [Activity of User(s)](ユーザーのアクティビティ): ユーザー アクティビティに基づいてポリシーを作成できます。
- [Activity of Group(s)](グループのアクティビティ): グループに属するすべてのユーザーの集計されたアクティビティに基づいてポリシーを作成できます。
- [Activity of Resource(s)](リソースのアクティビティ): リソースのアクティビティ (EC2 インスタンスなど) に基づいてポリシーを作成できます。
- [Activity of Role](ロールのアクティビティ): ロールを引き受けたすべてのユーザーの集計されたアクティビティに基づいてポリシーを作成できます。
- [Activity of Tag(s)](タグのアクティビティ): すべてのタグの集計されたアクティビティに基づいてポリシーを作成できます。
- [Activity of Lambda Function](ラムダ関数のアクティビティ): ラムダ関数に基づいて新しいポリシーを作成できます。
- [From Existing Policy](既存のポリシーから): 既存のポリシーに基づいて新しいポリシーを作成できます。
- [New Policy](新しいポリシー): 新しいポリシーを一から作成できます。
[Tasks performed in the last](次の期間に実行されたタスク) では、[90 days](90 日)、[60 days](60 日間)、[30 days](30 日間)、[7 days](7 日間)、または [1 day](1 日間) の中から期間を選択します。
必要に応じて、[Include Access Advisor data](Access Advisor のデータを含める) を選択または選択解除します。
[Settings](設定) で、[Available](使用可能) 列からプラス記号 (+) を選択して ID を [Selected](選択済み) 列に移動し、[次へ] を選択します。
[Tasks](タスク) ページで、[Available](使用可能) 列からプラス記号 (+) を選択して、タスクを [Selected](選択済み) 列に移動します。
- カテゴリ全体を追加するには、カテゴリを選択します。
- カテゴリから個々の項目を追加するには、カテゴリ名の左側にある下矢印を選択し、個々の項目を選択します。
[Resources](リソース) で、[All Resources](すべてのリソース) または [Specific Resources](特定のリソース) を選択します。
[Specific Resources](特定のリソース) を選択すると、使用可能なリソースの一覧が表示されます。 追加するリソースを見つけて、[追加] を選択します。
[Request Conditions](要求の条件) で [JSON] を選択します。
[Effect](効果) で [Allow](許可) または [Deny](拒否) を選択し、[次へ] を選択します。
[Policy name:](ポリシー名) には、ポリシーの名前を入力します。
ポリシーに別のステートメントを追加するには、[Add Statement](ステートメントの追加) を選択し、[Statements](ステートメント) の一覧からステートメントを選択します。
[Task](タスク)、[Resources](リソース)、[Request Conditions](要求の条件)、および [Effect](効果) の各設定を確認し、[次へ] を選択します。
[Preview](プレビュー) ページでスクリプトを確認し、内容が正しいことを確認します。
コントローラーが有効になっていない場合は、[Download JSON](JSON をダウンロード) または [Download Script](スクリプトをダウンロード) を選択してコードをダウンロードし、自分で実行します。
コントローラーが有効になっている場合は、この手順をスキップします。
[Split Policy](分割ポリシー) を選択し、[Submit](送信) を選択します。
作成するためにポリシーが送信されたことを確認するメッセージが表示されます
Permissions Management 作業ペインが右側に表示されます。
- Active タブには、現在処理されているPermissions Managementポリシーの一覧が表示されます。
- Completed タブには、完了したPermissions Managementポリシーの一覧が表示されます。
指定した認可システムのデータ収集が完了すると、新しく作成されたポリシー情報が反映されます。
Azure のロールを作成する
Permissions Managementのホーム ページで、[Remediation](修復) タブを選択し、次に アクセス許可 サブタブを選択します。
ドロップダウン リストを使用して、[Authorization System Type](認可システムの種類) と [Authorization System](認可システム) を選択します。
[Create Role](ロールの作成) を選択します。
[Details](詳細) ページで、[Authorization System Type](認可システムの種類) と [Authorization System](認可システム) は、前の設定から事前に設定されています。
- 設定を変更するには、ボックスを選択し、ドロップダウンから選択します。
[How Would You Like To Create The Role?](ロールの作成方法) で、必要なオプションを選択します。
- [Activity of User(s)](ユーザーのアクティビティ): ユーザー アクティビティに基づいてロールを作成できます。
- [Activity of Group(s)](グループのアクティビティ): グループに属するすべてのユーザーの集計されたアクティビティに基づいてロールを作成できます。
- [Activity of App(s)](アプリのアクティビティ): すべてのアプリの集計されたアクティビティに基づいてロールを作成できます。
- [From Existing Role](既存のロールから): 既存のロールに基づいて新しいロールを作成できます。
- [New Role](新しいロール): 新しいロールを一から作成できます。
[Tasks performed in the last](次の期間に実行されたタスク) では、[90 days](90 日)、[60 days](60 日間)、[30 days](30 日間)、[7 days](7 日間)、または [1 day](1 日間) の中から期間を選択します。
必要に応じて次を実行します。
- [Ignore Non-Microsoft Read Actions](Microsoft 以外の読み取りアクションを無視する) を選択または選択解除します。
- [Include Read-Only Tasks](読み取り専用タスクを含める) を選択または選択解除します。
[Settings](設定) で、[Available](使用可能) 列からプラス記号 (+) を選択して ID を [Selected](選択済み) 列に移動し、[次へ] を選択します。
[Tasks](タスク) ページの [Role name:](ロール名) に、ロールの名前を入力します。
[Available](使用可能) 列からプラス記号 (+) を選択して、タスクを [Selected](選択済み) 列に移動します。
- カテゴリ全体を追加するには、カテゴリを選択します。
- カテゴリから個々の項目を追加するには、カテゴリ名の左側にある下矢印を選択し、個々の項目を選択します。
[次へ] を選択します。
(省略可能) 管理者は、スコープとして使用するリソース グループのスコープ文字列をコピーできます。 Azure で、[リソース グループ]>[監視]>[プロパティ] の順に選択し、リソース ID をコピーします。
[Preview](プレビュー) ページで、次を確認します。
- 選択したアクションとアクション以外の一覧。
- JSON またはスクリプト。それが選択した内容であることを確認します。
コントローラーが有効になっていない場合は、[Download JSON](JSON をダウンロード) または [Download Script](スクリプトをダウンロード) を選択してコードをダウンロードし、自分で実行します。
コントローラーが有効になっている場合は、この手順をスキップします。
[Submit](送信) をクリックします。
作成するためにロールが送信されたことを確認するメッセージが表示されます
アクセス許可管理 作業ペインが右側に表示されます。
- Active タブには、現在処理されているPermissions Managementポリシーの一覧が表示されます。
- Completed タブには、完了したPermissions Managementポリシーの一覧が表示されます。
指定した認可システムのデータ収集が完了すると、新しく作成されたロール情報が反映されます。
GCP のロールを作成する
Permissions Managementのホーム ページで、[Remediation](修復) タブを選択し、次に アクセス許可 サブタブを選択します。
ドロップダウン リストを使用して、[Authorization System Type](認可システムの種類) と [Authorization System](認可システム) を選択します。
[Create Role](ロールの作成) を選択します。
[Details](詳細) ページで、[Authorization System Type](認可システムの種類) と [Authorization System](認可システム) は、前の設定から事前に設定されています。
- 設定を変更するには、ボックスを選択し、ドロップダウンから選択します。
[How Would You Like To Create The Role?](ロールの作成方法) で、必要なオプションを選択します。
- [Activity of User(s)](ユーザーのアクティビティ): ユーザー アクティビティに基づいてロールを作成できます。
- [Activity of Group(s)](グループのアクティビティ): グループに属するすべてのユーザーの集計されたアクティビティに基づいてロールを作成できます。
- [Activity of Service Account(s)](サービス アカウントのアクティビティ): すべてのサービス アカウントの集計されたアクティビティに基づいてロールを作成できます。
- [From Existing Role](既存のロールから): 既存のロールに基づいて新しいロールを作成できます。
- [New Role](新しいロール): 新しいロールを一から作成できます。
[Tasks performed in the last](次の期間に実行されたタスク) では、[90 days](90 日)、[60 days](60 日間)、[30 days](30 日間)、[7 days](7 日間)、または [1 day](1 日間) の中から期間を選択します。
前の手順で [Activity Of Service Account(s)](サービス アカウントのアクティビティ) を選択した場合は、[Collect activity across all GCP Authorization Systems](すべての GCP 認可システムでアクティビティを収集する) を選択または選択解除します。
[Available](使用可能) 列からプラス記号 (+) を選択して、ID を [Selected](選択済み) 列に移動し、[次へ] を選択します。
[Tasks](タスク) ページの [Role name:](ロール名) に、ロールの名前を入力します。
[Available](使用可能) 列からプラス記号 (+) を選択して、タスクを [Selected](選択済み) 列に移動します。
- カテゴリ全体を追加するには、カテゴリを選択します。
- カテゴリから個々の項目を追加するには、カテゴリ名の左側にある下矢印を選択し、個々の項目を選択します。
[次へ] を選択します。
[Preview](プレビュー) ページで、次を確認します。
- 選択したアクションの一覧。
- YAML またはスクリプト。それが選択した内容であることを確認します。
コントローラーが有効になっていない場合は、[Download YAML](YAML をダウンロード) または [Download Script](スクリプトをダウンロード) を選択してコードをダウンロードし、自分で実行します。
[Submit](送信) をクリックします。 作成するためにロールが送信されたことを確認するメッセージが表示されます
アクセス許可管理 作業ペインが右側に表示されます。
- Active タブには、現在処理されているPermissions Managementポリシーの一覧が表示されます。
- Completed タブには、完了したPermissions Managementポリシーの一覧が表示されます。
指定した認可システムのデータ収集が完了すると、新しく作成されたロール情報が反映されます。
次のステップ
- 既存のロール/ポリシー、要求、およびアクセス許可を表示する方法については、[Remediation](修復) ダッシュボードでのロール/ポリシー、要求、およびアクセス許可の表示に関する記事を参照してください。
- ロール/ポリシーを変更する方法については、ロール/ポリシーの変更に関する記事を参照してください。