RBAC を使用してアクセスを制限する
Azure Monitor により、マネージド システムから収集されたログは Log Analytics ワークスペースに格納されます。 各ワークスペースには、ワークスペース レベルで RBAC を使用して保護できるセキュリティ境界が構成されます。 ただし、各ワークスペースのコンテンツには、ログの収集元である個々のリソースに割り当てられたアクセス許可を確認するアクセス制御メカニズムも適用されます。
これら 2 つのメカニズムのどちらが有効かは、次のようないくつかの要因に基づいて判断されます。
アクセス モード: これは、ワークスペースへのアクセスに使用する方法を表し、自動的に適用されるアクセス制御モードが定義されています。 2 つのアクセス モードがあります。
- ワークスペースコンテキスト。 このアクセス モードは、Azure portal の [Azure Monitor] ブレードからログにアクセスする場合に適用できます。 この場合、スコープはワークスペース内のすべてのテーブルのすべてのデータに設定されます。
- リソースコンテキスト。 このアクセス モードは、個々のリソースのペインからログにアクセスする場合に適用できます。 この場合、スコープはその特定のリソースのすべてのデータにのみ設定されます。
アクセス制御モード。 これは、ワークスペースおよびリソース レベルでアクセス許可を決定する方法を定義するワークスペースレベルの設定です。 2 つのアクセス制御モードがあります。
- [ワークスペースのアクセス許可が必要]。 このモードは、ワークスペースまたはリソースのコンテキストで操作する場合のワークスペースレベルのアクセス許可に基づいています。
- [リソースまたはワークスペースのアクセス許可を使用]。 このモードは、ワークスペースのコンテキストで操作する場合はワークスペースレベルのアクセス許可に基づき、リソースのコンテキストで操作する場合はリソースレベルのアクセス許可に基づいています。 これは、すべてのワークスペースの既定設定です。
これは Azure リソースを対象として機能しますが、オンプレミス コンピューターから収集されたデータにアクセスする場合は問題が発生します。 これは、Azure RBAC の対象ではないためです。 この問題は Azure Arc を使用して修復できます。これを使用すると、リソース ID と対応する Azure リソース グループが Azure 以外の各コンピューターに割り当てられるためです。 こうすることで、Azure リソースに適用されるものと同じメカニズムを使用して、オンプレミス コンピューターから収集されたログへのアクセスを構成できます。
アクセスを管理する
オンプレミスのリソースに RBAC を使用してアクセスを管理するには、次の手順を実行します。
- Azure portal から、Azure Arc に移動します。
- [サーバーの管理] を選択します。
- マネージド サーバーの一覧から適切なサーバーを選択し、ナビゲーション ペインで [アクセス制御 (IAM)] を選択します。
![選択した VM (ContosoVM1) の Azure portal のアクセス制御 (IAM) ページのスクリーンショット。詳細ペインには次の 5 つのタブがあります: [アクセスの確認] (選択済み)、[ロールの割り当て]、[拒否の割り当て]、[従来の管理者]、[ロール]。](../../wwl-azure/manage-hybrid-workloads-azure-arc/media/m14-access-control-1-2f9f67de.png)
[アクセス制御 (IAM)] ページで使用できる 5 個のタブと、そこで実行できるアクションを次の表に示します。
Tab
説明
アクセスの確認
[アクセスの確認] タブのリンクを使用すると、リソースにロールの割り当てを追加すること、ロールの割り当てを確認すること、拒否割り当てを確認することができます。 また、ユーザーやグループなどの特定の Microsoft Entra セキュリティ プリンシパルを検索して、それらがリソースに対して持つアクセス レベルを決定することもできます。 詳細については、「クイックスタート: Azure リソースに対するユーザーのアクセス権を確認する」を参照してください。
ロールの割り当て
[ロールの割り当て] タブでは、現在のロールの割り当てを確認し、必要に応じて変更を加えることができます。 ロールの割り当ての詳細については、Azure portal を使用した Azure のロールの割り当ての追加または削除に関するページを参照してください。
拒否割り当て
[拒否割り当て] タブを使用すると、ロールの割り当てによって必要なアクセス権が付与されている場合でも、特定のアクションを実行できないブロックされたユーザーを確認できます。 拒否割り当ての詳細については、「Azure portal を使用して Azure 拒否割り当てを一覧表示する」を参照してください。
従来の管理者
[従来の管理者] タブでは、組織内の従来の管理者を確認します。 これらのユーザーは、Azure のクラシック デプロイをまだ使用している場合にのみ必要です。 詳細については、「Azure の従来のサブスクリプション管理者」を参照してください。
ロール
[ロール] タブでは、ユーザー アカウントを組み込みのロールに割り当てることができます。 ツールバーからロールの割り当てを追加します。 ロールの詳細については、Azure portal を使用した Azure のロールの割り当ての追加または削除に関するページを参照してください。
![選択した VM (ContosoVM1) の Azure portal のアクセス制御 (IAM) ページのスクリーンショット。詳細ペインには次の 5 つのタブがあります: [アクセスの確認]、[ロールの割り当て]、[拒否の割り当て]、[従来の管理者]、[ロール] (選択済み)。ロールのリストが表示されています。](../../wwl-azure/manage-hybrid-workloads-azure-arc/media/m14-roles-de3a3136.png)
ヒント
ツールバーの [+ 追加] を選択し、共同管理者または新しいロールの割り当てを追加します。
追加の参考資料
詳細については、次のドキュメントを参照してください。