ある会社が Azure RBAC の拒否割り当て(Deny assignments)について検討している。拒否割り当てに関する説明として正しいものを 2 つ選択してください。
- A. 拒否割り当ては Azure portal から管理者が自由に作成・削除できる
- B. 拒否割り当ては許可ロール割り当てよりも優先されるが、リソースロックよりは優先度が低い
- C. 拒否割り当ては Azure Blueprints または Managed Applications など特定のシステムによってのみ作成される
- D. 拒否割り当てが設定されている場合、オーナー(Owner)ロールを持つユーザーであっても拒否されたアクションは実行できない
- E. 拒否割り当てはサブスクリプションスコープにのみ設定でき、リソースグループやリソーススコープには設定できない
解答と解説を見る
正解: C, D
Azure の拒否割り当て(Deny assignments)は、特定のアクションを明示的に禁止する仕組みで、許可ロール割り当てよりも優先される。つまりオーナーを含む全ユーザーが拒否割り当てで禁止されたアクションを実行できなくなる(選択肢D)。拒否割り当ては Azure portal から管理者が任意に作成することはできず、Azure Blueprints の Artifacts として作成されるか、Azure Managed Applications のリソースグループに自動適用されるなど、特定のシステム・プロセスを通じてのみ作成される(選択肢C)。選択肢Aは管理者が Azure portal から自由に作成できるという説明は誤り。選択肢Bは優先度の順序として、拒否割り当てとリソースロックは独立した仕組みであり「リソースロックより優先度が低い」という序列はない。選択肢Eは拒否割り当てはサブスクリプション・リソースグループ・リソースなど複数のスコープで設定可能であり、サブスクリプションスコープのみという制限はない。