Azure Route Server には、基になるリソースを作成および管理するための特定のロールとアクセス許可が必要です。 この記事では、Azure ロールベースのアクセス制御 (RBAC) の要件について説明し、組織に適したアクセス許可を構成するのに役立ちます。
概要
Azure Route Server では、作成と管理の操作中に、基になる複数の Azure リソースが利用されます。 この依存関係のため、ユーザー、サービス プリンシパル、およびマネージド ID が、関連するすべてのリソースに対して必要なアクセス許可を持っていることを確認することが不可欠です。
これらのアクセス許可の要件を理解すると、次のことが役立ちます。
- ルート サーバー展開のロールの割り当てを計画する
- アクセス関連の問題のトラブルシューティング
- 最小特権アクセス原則を実装する
- 組織のニーズに合わせてカスタマイズされたカスタム ロールを作成する
Azure 組み込みロール
Azure には、Azure Route Server 操作に必要なアクセス許可を含む組み込みロールが用意されています。 これらの Azure 組み込みロール は、ユーザー、グループ、サービス プリンシパル、またはマネージド ID に割り当てることができます。
ネットワーク貢献者役割
ネットワーク共同作成者の組み込みロールは、Azure Route Server リソースを作成および管理するための包括的なアクセス許可を提供します。 このロールには、次に必要なすべてのアクセス許可が含まれます。
- ルート サーバー インスタンスの作成
- BGP ピアリング構成の管理
- ルート交換設定の構成
- 監視とトラブルシューティング
ロールの割り当ての詳細については、「 Azure ロールを割り当てる手順」を参照してください。
カスタム ロール
Azure 組み込みロールが組織の特定のセキュリティ要件を満たしていない場合は、カスタム ロールを作成できます。 カスタム ロールを使用すると、特定のタスクに必要な最小限のアクセス許可のみを付与することで、最小限の特権の原則を実装できます。
管理グループ、サブスクリプション、およびリソース グループのスコープで、ユーザー、グループ、サービス プリンシパルにカスタム ロールを割り当てることができます。 詳細なガイダンスについては、「 カスタム ロールを作成する手順」を参照してください。
カスタム ロールに関する考慮事項
Azure Route Server のカスタム ロールを作成する場合:
- [ アクセス許可 ] セクションに表示されている必要なアクセス許可が、ユーザー、サービス プリンシパル、およびマネージド ID にあることを確認します
- 運用環境にデプロイする前に、開発環境でカスタム ロールをテストする
- Azure Route Server の機能の進化に伴い、カスタム ロールのアクセス許可を定期的に確認して更新する
- 組織のカスタム ロールの目的とアクセス許可の割り当てを文書化する
既存のカスタム ロールを変更するには、「 カスタム ロールを更新する」を参照してください。
アクセス許可
Azure Route Server には、基になる Azure リソースに対する特定のアクセス許可が必要です。 次のリソースを作成または更新するときは、適切なアクセス許可が割り当てられていることを確認します。
リソース別に必要なアクセス許可
| リソース | 必要な Azure アクセス許可 |
|---|---|
| 仮想ハブ/IP設定 | Microsoft.Network/publicIPAddresses/join/action Microsoft.Network/virtualNetworks/subnets/join/action |
その他のアクセス許可に関する考慮事項
- パブリック IP アドレス: ルート サーバーには、パブリック IP アドレスを作成して関連付けるアクセス許可が必要です
- 仮想ネットワーク サブネット: RouteServerSubnet に参加するためのアクセスは、デプロイに不可欠です
Azure ネットワークのアクセス許可の詳細については、「ネットワークと仮想ネットワークのアクセス許可に対する Azure のアクセス許可」を参照してください。
ロールの割り当てスコープ
カスタム ロールを定義するときに、管理グループ、サブスクリプション、リソース グループ、および個々のリソースという複数のレベルでロールの割り当てスコープを指定できます。 アクセス権を付与するには、適切なスコープでユーザー、グループ、サービス プリンシパル、またはマネージド ID にロールを割り当てます。
スコープ階層
これらのスコープは親子関係構造に従い、各レベルにより具体的なアクセス制御が提供されます。
- 管理グループ: 最も広範なスコープ、複数のサブスクリプションに適用されます
- サブスクリプション: サブスクリプション内のすべてのリソースに適用されます
- リソース グループ: 特定のリソース グループ内のリソースにのみ適用されます
- リソース: 最も具体的なスコープ。個々のリソースに適用されます
選択するスコープ レベルによって、ロールの適用範囲が決まります。 たとえば、サブスクリプション レベルで割り当てられたロールは、そのサブスクリプション内のすべてのリソースに連鎖しますが、リソース グループ レベルで割り当てられたロールは、その特定のグループ内のリソースにのみ適用されます。
スコープ レベルの詳細については、「 スコープ レベル」を参照してください。
注
ロールの割り当てが変更された後、Azure Resource Manager のキャッシュの更新には、十分な時間を確保してください。
関連する Azure サービス
他の Azure ネットワーク サービスのロールとアクセス許可の情報については、次の記事を参照してください。
- Azure Application Gateway のロールとアクセス許可
- Azure ExpressRoute のロールとアクセス許可
- Azure Firewall のロールとアクセス許可
- Azure Virtual WAN のロールとアクセス許可
- マネージド NVA ロールとアクセス許可
- Azure VPN Gateway のロールとアクセス許可