ある企業が Azure の管理グループ階層を設計している。現在の構成は「テナントルート」→「Corp」→「Production」→「Sub-Prod-1」(サブスクリプション)という 3 段階の管理グループ階層になっている。セキュリティチームが「Corp」管理グループで「セキュリティ管理者(Security Admin)」ロールを割り当てた一方、別のチームが「Production」管理グループで同じユーザーに対して「閲覧者(Reader)」ロールのみ割り当てるよう意図した。Sub-Prod-1 サブスクリプションでこのユーザーが持つ実効権限はどれか。
- A. 「Corp」の「セキュリティ管理者」のみが適用され「Production」の閲覧者ロールは無視される
- B. ロールが競合するため、どちらのロールも無効になり Sub-Prod-1 へのアクセスは拒否される
- C. 「Production」で割り当てられた「閲覧者」ロールのみが適用される(下位の割り当てが上位を上書きする)
- D. 「Corp」の「セキュリティ管理者」と「Production」の「閲覧者」の両方が累積して適用される
解答と解説を見る
正解: D
Azure RBAC はロールが「競合」しても相互に無効化されず、各スコープで割り当てられたロールはすべて累積して有効になる(最小特権の原則とは別に、権限は加算される)。「Corp」管理グループでの「セキュリティ管理者」は Sub-Prod-1 まで継承され、「Production」管理グループでの「閲覧者」も Sub-Prod-1 まで継承されるため、ユーザーはセキュリティ管理者と閲覧者の両方の権限を持つことになる。選択肢Cの「下位スコープの割り当てが上位スコープを上書きする」という仕組みは Azure RBAC には存在せず、下位で割り当てたロールは追加されるのみで上位継承分は消えない。選択肢Aの上位のみ適用も誤り。選択肢Bのロール競合による無効化という概念は Azure RBAC にはなく、拒否割り当て(Deny assignments)がない限りロールは加算される。