ある企業が Azure サブスクリプションで仮想マシンを管理している。開発チームのメンバーに仮想マシンの起動・停止・再起動は許可するが、新しいリソースの作成や削除、ネットワーク設定の変更は禁止したい。また、このチーム専用の要件であり、他のチームには影響させない。最小特権の原則に従って最も適切な RBAC 設定はどれか。
- A. リソースグループスコープで仮想マシン共同作成者(Virtual Machine Contributor)ロールを割り当てる
- B. リソースグループスコープで仮想マシンオペレーター用のカスタムロールを作成して割り当てる
- C. サブスクリプションスコープで仮想マシン共同作成者(Virtual Machine Contributor)ロールを割り当てる
- D. サブスクリプションスコープで共同作成者(Contributor)ロールを割り当て、拒否割り当てでリソース作成を禁止する
解答と解説を見る
正解: B
要件は「起動・停止・再起動のみ許可、作成・削除・ネットワーク変更は禁止」で、これは既存の組み込みロールではカバーできない細かい粒度の権限設定のため、カスタムロールが最適。またスコープをリソースグループに絞ることで他チームへの影響を排除できる。選択肢Cの仮想マシン共同作成者をサブスクリプションスコープで割り当てると他チームの VM にも影響する上、VM 共同作成者には新規作成権限も含まれており過剰。選択肢AのVM 共同作成者をリソースグループに絞るだけでも作成・削除権限が含まれているため、「作成禁止」要件を満たさない。選択肢Dの共同作成者ロール+拒否割り当ては最小特権に反し、拒否割り当ては Blueprint や Privileged Identity Management での管理が必要で通常の RBAC 操作より複雑である。