ある企業が複数のサブスクリプションを管理グループ階層で管理している。管理グループ「Corp」の配下に「Production」と「Dev」という子管理グループがあり、その下に複数サブスクリプションがある。セキュリティチームに Corp 管理グループスコープで「セキュリティ管理者(Security Admin)」ロールを割り当てた。このロール割り当ての効果として正しいものはどれか。
- A. Corp 管理グループに直接属するリソースグループのみにロールが適用される
- B. Corp 管理グループ配下のすべての子管理グループ・サブスクリプション・リソースグループ・リソースにロールが継承される
- C. Corp と同階層にある他の管理グループにも同じロールが自動的に適用される
- D. セキュリティ管理者ロールは管理グループスコープでは使用できず、サブスクリプションスコープで割り当て直す必要がある
解答と解説を見る
正解: B
Azure RBAC のスコープ継承は「管理グループ → サブスクリプション → リソースグループ → リソース」という階層を下向きに伝播する。Corp 管理グループで割り当てたロールは、Production・Dev の子管理グループ、その下のすべてのサブスクリプション、さらに配下のリソースグループとリソースすべてに自動継承される。これが管理グループを使う主な利点の一つ。選択肢Aは継承の仕組みを誤解しており、管理グループ直下のリソースグループのみに限定されない。選択肢DはSecurity Admin ロールは管理グループスコープでも有効であり、この記述は誤り。選択肢Cは継承は下位階層に対してのみ伝播し、同階層や上位への横断的な適用は行われない。