ある企業がAzureのリソースに対してRBACを設定しようとしている。特定の開発者がAzure Virtual Machinesの起動・停止はできるが、VMの削除や新規作成はできないように権限を設定したい。最も適切な組み込みロールはどれか。
- A. Reader(閲覧者):すべてのリソースの表示のみが可能
- B. Contributor(共同作成者):リソースの作成・管理・削除が可能だが、アクセス権の付与はできない
- C. Owner(所有者):すべての操作権限とリソースアクセス権委任が可能
- D. Virtual Machine Contributor(仮想マシン共同作成者):VMの管理は可能だが、接続先VNetやストレージへのアクセス権管理はできない
解答と解説を見る
正解: D
Virtual Machine Contributor(仮想マシン共同作成者)ロールはAzure仮想マシンの作成・管理・削除・起動・停止・再起動などVMに関するほぼすべての操作が可能だが、接続先の仮想ネットワークやストレージアカウントのアクセス権変更はできない。問題の「VM削除や新規作成はできない」という要件に対しては、より権限を絞ったカスタムロールが最適だが、選択肢の中では最も要件に近いのがこのロールである。ただし最小権限の原則を厳密に適用するならカスタムロール定義が推奨される。選択肢CのOwnerはリソースへの完全な制御権を持つため過剰。選択肢BのContributorはVM削除・新規作成も可能で要件に反する。選択肢AのReaderは閲覧のみで起動・停止もできないため要件を満たさない。
📚 関連サービスの解説: Azure Virtual Network(VNet)