Azure RBACとは
Azure RBAC(ロールベースのアクセス制御)は、Azureリソースへのアクセス権をきめ細かく管理するための仕組みだ。セキュリティプリンシパル(ユーザー・グループ・サービスプリンシパル・マネージドID)にロールを割り当てることで、どのリソースに対して何の操作ができるかを制御する。
RBACのロール割り当ては「セキュリティプリンシパル」「ロール定義」「スコープ」の3要素で構成される。スコープは管理グループ・サブスクリプション・リソースグループ・リソースの4階層があり、上位スコープで割り当てたロールは子スコープに継承される。加算方式のモデルなので、複数のロール割り当てがある場合はそれらの権限の合計が有効な権限になる。
試験での問われ方
Azure RBACとAzure Policyは混同しやすい。RBACは『誰が何をできるか(アクションのコントロール)』を管理し、Policyは『リソースがどのような状態であるべきか(リソースのコンプライアンス)』を管理する。たとえば「特定のリージョンへのデプロイのみ許可する」のはPolicyの仕事で、「特定のユーザーがVMを作成できる」のはRBACの仕事だ。AZ-104では『最小特権を実現する組み込みロール』や『カスタムロールをいつ使うか』も問われる。
このサービスが登場する演習問題(12問)
- 【AZ-900】ある企業のCIOが「クラウドシステムのガバナビリティ(Governance)」について語っている。Azureにおいてガバ…
- 【AZ-900】ある企業がAzureで多数のサブスクリプションとリソースグループを管理している。新規サブスクリプションが作成されるたびに…
- 【AZ-900】ある企業がAzureのすべてのリソースへのアクセスを一元的に管理したい。最小権限の原則に基づき、各ユーザー・グループ・サ…
- 【AZ-900】ある企業がAzureのガバナンスを強化しようとしている。Azureの管理階層においてポリシーとRBACの継承が適用される…
- 【AZ-900】ある企業がAzure上のリソースを複数のプロジェクトチームで共有しているが、各チームが誤って他チームのリソースを変更・削…
- 【AZ-900】ある企業がAzureのITガバナンスを強化するため、リソースの標準化・コンプライアンス確保・承認済み設定のみを使用するこ…
- 【SC-900】ある企業のセキュリティアーキテクトが、Entra IDのロールとAzureのロールベースアクセス制御(RBAC)の違いに…
- 【SC-900】ある企業が Azure Key Vault を使用してシークレット、キー、証明書を管理している。Key Vault を安…
- 【AZ-104】ある企業が Azure Policy イニシアチブ(Initiative)を使ってセキュリティ基準を管理している。イニシ…
- 【AZ-104】ある企業が Azure サブスクリプションを別の Entra ID テナントに移動させる必要が生じた。移動後の影響として…
- 【AZ-104】ある企業が Entra ID で「セキュリティグループ」と「Microsoft 365 グループ」の 2 種類のグループ…
- 【AZ-104】ある大企業が 5 つの事業部門を持ち、各部門が独自の Azure サブスクリプションで操業している。セキュリティチームは…