特定のアクセス許可をユーザーに付与するカスタム ロールを定義するには、Azure RBAC を使用できます。 この記事には、カスタム ロールを構築するための参照としてダウンロードして使用できる例の一覧が含まれています。
Azure RBAC のカスタム ロールの詳細については、Azure カスタム ロールに関するページを参照してください。
Azure IoT 操作には、Azure IoT Operations リソースのアクセス管理を簡素化し、セキュリティで保護するように設計された組み込みのロールも用意されています。 詳細については、「 IoT 操作の組み込み RBAC ロール」を参照してください。
カスタム ロールの例
次のセクションでは、ダウンロードして参照として使用できる Azure IoT Operations カスタム ロールの例を示します。 これらのカスタム ロールは、ロールの特定のアクセス許可とスコープを一覧表示する JSON ファイルです。これは、独自のカスタム ロールを作成するための開始点として使用する必要があります。
注
次のカスタム ロールは例にすぎません。 特定の要件に合わせて、JSON ファイルのアクセス許可を確認して変更する必要があります。
ロールのオンボード
Azure Arc 接続プロセス を 完了し、Azure IoT Operations を安全にデプロイするための十分なアクセス許可をユーザーに付与するオンボード ロールを定義できます。
| カスタム ロール | 説明 |
|---|---|
| オンボーディング | これは特権ロールです。 ユーザーは Azure Arc 接続プロセスを完了し、Azure IoT Operations を安全にデプロイできます。 |
ビューアーロール
Azure IoT Operations インスタンスとそのリソースへの読み取り専用アクセス権を付与するさまざまな ビューアー ロールを定義できます。 これらのロールは、変更を加えずにインスタンスを監視する必要があるユーザーに役立ちます。
| カスタム ロール | 説明 |
|---|---|
| インスタンス ビューアー | このロールを使用すると、ユーザーは Azure IoT Operations インスタンスを表示できます。 |
| 資産ビューアー | このロールを使用すると、ユーザーは Azure IoT Operations インスタンスの資産を表示できます。 |
| 資産エンドポイント ビューアー | このロールを使用すると、ユーザーは Azure IoT Operations インスタンス内の資産エンドポイントを表示できます。 |
| データ フロー ビューアー | このロールを使用すると、ユーザーは Azure IoT Operations インスタンス内のデータ フローを表示できます。 |
| データ フロー変換先ビューアー | このロールを使用すると、ユーザーは Azure IoT Operations インスタンス内のデータ フローの宛先を表示できます。 |
| MQ ビューアー | このロールを使用すると、ユーザーは Azure IoT Operations インスタンスで MQTT ブローカーを表示できます。 |
| ビューアー | このロールを使用すると、ユーザーは Azure IoT Operations インスタンスを表示できます。 このロールは、インスタンス ビューアー、資産ビューアー、資産エンドポイント ビューアー、データ フロー ビューアー、データ フロー宛先ビューアー、および MQ ビューアーロールの組み合わせです。 |
管理者ロール
Azure IoT Operations インスタンスとそのリソースへのフル アクセスを許可するさまざまな 管理者 ロールを定義できます。 これらのロールは、インスタンスとそのリソースを管理する必要があるユーザーに役立ちます。
| カスタム ロール | 説明 |
|---|---|
| インスタンス管理者 | これは特権ロールです。 ユーザーはインスタンスをデプロイできます。 ロールには、インスタンス、ブローカー、認証、リスナー、データフロー プロファイル、データフロー エンドポイント、スキーマ レジストリ、およびユーザー割り当て ID を作成および更新するためのアクセス許可が含まれます。 ロールには、インスタンスを削除するアクセス許可も含まれます。 |
| 資産管理者 | ユーザーは、Azure IoT Operations インスタンスで資産を作成および管理できます。 |
| 資産エンドポイント管理者 | ユーザーは、Azure IoT Operations インスタンスで資産エンドポイントを作成および管理できます。 |
| データ フロー管理者 | ユーザーは、Azure IoT Operations インスタンスでデータ フローを作成および管理できます。 |
| データ フロー変換先管理者 | ユーザーは、Azure IoT Operations インスタンスでデータ フローの宛先を作成および管理できます。 |
| MQ 管理者 | ユーザーは、Azure IoT Operations インスタンスで MQTT ブローカーを作成および管理できます。 |
| 管理者 | これは特権ロールです。 ユーザーは、Azure IoT Operations インスタンスを作成および管理できます。 このロールは、インスタンス管理者、資産管理者、資産エンドポイント管理者、データ フロー管理者、データ フロー宛先管理者、MQ 管理者ロールの組み合わせです。 |
注
資産エンドポイント管理者ロールとデータ フロー変換先管理者ロールの例では、操作エクスペリエンス Web UI の Azure Key Vault と [シークレットの管理] ページにアクセスできます。 ただし、これらのカスタム ロールがサブスクリプション レベルで割り当てられている場合でも、ユーザーは特定のリソース グループのキー コンテナーの一覧のみを表示できます。 スキーマ レジストリへのアクセスもリソース グループ レベルに制限されます。
重要
現在、操作エクスペリエンス Web UI では、ユーザーがアクセス許可のないリソースにアクセスしようとすると、誤解を招くエラー メッセージが表示されます。 リソースへのアクセスは、想定どおりにブロックされます。
カスタム ロール定義を作成する
サンプルのカスタム ロールのいずれかを準備するには:
作成するカスタム ロールの JSON ファイルをダウンロードします。 JSON ファイルには、ロールのアクセス許可とスコープを含むロール定義が含まれています。
JSON ファイルを編集して、
assignableScopesフィールドのプレースホルダー値をサブスクリプション ID に置き換えます。 変更を保存します。
Azure portal を使用して Azure サブスクリプションにカスタム ロールを追加するには:
Azure portal でサブスクリプションに移動します。
[アクセス制御 (IAM)] を選択します。
[ 追加] > [カスタム ロールの追加] を選択します。
[オンボード] などの名前と、ロールの説明を入力します。
[ JSON から開始] を選択し、ダウンロードした JSON ファイルを選択します。 カスタム ロールの名前と説明は、ファイルから設定されます。
必要に応じて、アクセス許可と割り当て可能なスコープを確認します。
サブスクリプションにカスタム ロールを追加するには、[ 確認と作成 ] を選択し、[ 作成] を選択します。
カスタム ロールを構成して使用する
サブスクリプションでカスタム ロールを作成したら、ユーザー、グループ、またはアプリケーションに割り当てることができます。 ロールは、サブスクリプションまたはリソース グループ レベルで割り当てることができます。 リソース グループのレベルでロールを割り当てると、最も細かい制御が可能になります。
Azure portal を使用してリソース グループ レベルでユーザーにカスタム ロールを割り当てるには:
Azure portal でリソース グループに移動します。
[アクセス制御 (IAM)] を選択します。
「追加」>「ロールの割り当てを追加」を選択します。
割り当てるカスタム ロールを検索して選択します。 [次へ] を選択します。
ロールを割り当てるユーザーを選択します。 名前またはメール アドレスでユーザーを検索できます。
[ 確認と割り当て] を選択して、ロールの割り当てを確認します。 問題がなければ、[ 割り当て] を選択します。