自由気ままに書いちゃおう

好きなことをつらつらと・・・

【Azure】AzureRBACロールとAzureADロールの違いについて

今回はAzureRBACロールとAzureADロールについてです。

■AzureRBACロールとAzureADロールの違いについて(制御対象のリソース編)

ざっくり言えば、
AzureRBACロールは「Azureの各リソース(AzureAD除く)を管理する」ためのアクセス制御を行います。
AzureADロールは「AzureADリソースのみを管理する」ためのアクセス制御を行います。

■AzureRBACロールとAzureADロールの違いについて(制御対象スコープ編)

AzureRBACロールは、Azureの管理グループ、サブスクリプション、リソースグループ、各リソースに対して付与することができます。

AzureADロールは、Azureテナントに対して付与いたします。

■AzureRBACロールの一覧について

以下公式サイトを参照ください。

Azure ロールの定義を一覧表示する - Azure RBAC | Microsoft Docs

もしくは、Azureポータルから任意のリソースを選択し(ここでは、仮想マシンを選択)、左ペインの「アクセス制御(IAM)」を選択します。

f:id:guri2o1667:20211206110442p:plain

右ペインの「役割」タブをクリックします。

f:id:guri2o1667:20211206110459p:plain

■AzureADロールの一覧について

以下公式サイトを参照ください。

Azure AD の組み込みロール - Azure Active Directory | Microsoft Docs


もしくは、Azureポータルから「AzureADのロールと管理者」をクリックし、確認することもできます。

f:id:guri2o1667:20211206110143p:plain

 

■AzureRBACロールの補足

基本的な組み込みロールは5つあります。
① 所有者
  すべてのリソースへのフルアクセス権を持っています。
  また、他ユーザに権限を委任することもできます。
  

f:id:guri2o1667:20211206112841p:plain

② 共同作成者
  すべてのリソースへのフルアクセス権を持っています。  
  ただ、所有者とは異なり、権限委任はできません。

f:id:guri2o1667:20211206112908p:plain



③ 閲覧者
  閲覧/表示だけができるユーザです。

f:id:guri2o1667:20211206112923p:plain



④ 各リソースの共同作成者
  例えば、仮想マシン共同作成者などがいます。そのリソースに対してのみの共同作成者権限を持っています。

f:id:guri2o1667:20211206112958p:plain


⑤ ユーザアクセス管理者
  Azureリソースを管理するのではなく、Azureリソースへのユーザアクセスを管理できます。

f:id:guri2o1667:20211206113057p:plain



また、上記5つ以外にも
組み込みロールではなくカスタムロールという独自ロールを作成することもできます。



以上です。