特定のアクセス許可をユーザーに付与するカスタム ロールを定義するには、Azure RBAC を使用できます。 たとえば、Azure Arc 接続プロセスを完了し、Azure IoT Operations を安全にデプロイするための十分なアクセス許可をユーザーに付与する オンボード ロールを定義できます。
この記事には、環境でダウンロードして使用できる例の一覧が含まれています。 これらのカスタム ロールは、ロールの特定のアクセス許可とスコープを一覧表示する JSON ファイルです。
Azure RBAC のカスタム ロールの詳細については、Azure カスタム ロールに関するページを参照してください。
カスタム ロールの例
次のセクションでは、ダウンロードして使用できる Azure IoT Operations カスタム ロールの例を示します。
ロールのオンボード
| カスタム ロール | 説明 |
|---|---|
| オンボーディング | これは特権ロールです。 ユーザーは Azure Arc 接続プロセスを完了し、Azure IoT Operations を安全にデプロイできます。 |
ビューアーロール
| カスタム ロール | 説明 |
|---|---|
| インスタンス ビューアー | このロールを使用すると、ユーザーは Azure IoT Operations インスタンスを表示できます。 |
| 資産ビューアー | このロールを使用すると、ユーザーは Azure IoT Operations インスタンスの資産を表示できます。 |
| 資産エンドポイント ビューアー | このロールを使用すると、ユーザーは Azure IoT Operations インスタンス内の資産エンドポイントを表示できます。 |
| データ フロー ビューアー | このロールを使用すると、ユーザーは Azure IoT Operations インスタンス内のデータ フローを表示できます。 |
| データ フロー変換先ビューアー | このロールを使用すると、ユーザーは Azure IoT Operations インスタンス内のデータ フローの宛先を表示できます。 |
| MQ ビューアー | このロールを使用すると、ユーザーは Azure IoT Operations インスタンスで MQTT ブローカーを表示できます。 |
| ビューアー | このロールを使用すると、ユーザーは Azure IoT Operations インスタンスを表示できます。 このロールは、インスタンス ビューアー、資産ビューアー、資産エンドポイント ビューアー、データ フロー ビューアー、データ フロー宛先ビューアー、および MQ ビューアーロールの組み合わせです。 |
管理者ロール
| カスタム ロール | 説明 |
|---|---|
| インスタンス管理者 | これは特権ロールです。 ユーザーはインスタンスをデプロイできます。 ロールには、インスタンス、ブローカー、認証、リスナー、データフロー プロファイル、データフロー エンドポイント、スキーマ レジストリ、およびユーザー割り当て ID を作成および更新するためのアクセス許可が含まれます。 ロールには、インスタンスを削除するアクセス許可も含まれます。 |
| 資産管理者 | ユーザーは、Azure IoT Operations インスタンスで資産を作成および管理できます。 |
| 資産エンドポイント管理者 | ユーザーは、Azure IoT Operations インスタンスで資産エンドポイントを作成および管理できます。 |
| データ フロー管理者 | ユーザーは、Azure IoT Operations インスタンスでデータ フローを作成および管理できます。 |
| データ フロー変換先管理者 | ユーザーは、Azure IoT Operations インスタンスでデータ フローの宛先を作成および管理できます。 |
| MQ 管理者 | ユーザーは、Azure IoT Operations インスタンスで MQTT ブローカーを作成および管理できます。 |
| 管理者 | これは特権ロールです。 ユーザーは、Azure IoT Operations インスタンスを作成および管理できます。 このロールは、インスタンス管理者、資産管理者、資産エンドポイント管理者、データ フロー管理者、データ フロー宛先管理者、MQ 管理者ロールの組み合わせです。 |
注
資産エンドポイント管理者ロールとデータ フロー変換先管理者ロールの例では、操作エクスペリエンス Web UI の Azure Key Vault と [シークレットの管理] ページにアクセスできます。 ただし、これらのカスタム ロールがサブスクリプション レベルで割り当てられている場合でも、ユーザーは特定のリソース グループのキー コンテナーの一覧のみを表示できます。 スキーマ レジストリへのアクセスもリソース グループ レベルに制限されます。
重要
現在、操作エクスペリエンス Web UI では、ユーザーがアクセス許可のないリソースにアクセスしようとすると、誤解を招くエラー メッセージが表示されます。 リソースへのアクセスは、想定どおりにブロックされます。
カスタム ロール定義を作成する
サンプルのカスタム ロールのいずれかを準備するには:
作成するカスタム ロールの JSON ファイルをダウンロードします。 JSON ファイルには、ロールのアクセス許可とスコープを含むロール定義が含まれています。
JSON ファイルを編集して、
assignableScopesフィールドのプレースホルダー値をサブスクリプション ID に置き換えます。 変更を保存します。
Azure portal を使用して Azure サブスクリプションにカスタム ロールを追加するには:
Azure portal でサブスクリプションに移動します。
[アクセス制御 (IAM)] を選択します。
[ 追加] > [カスタム ロールの追加] を選択します。
[オンボード] などの名前と、ロールの説明を入力します。
[ JSON から開始] を選択し、ダウンロードした JSON ファイルを選択します。 カスタム ロールの名前と説明は、ファイルから設定されます。
必要に応じて、アクセス許可と割り当て可能なスコープを確認します。
サブスクリプションにカスタム ロールを追加するには、[ 確認と作成 ] を選択し、[ 作成] を選択します。
カスタム ロールを構成して使用する
サブスクリプションでカスタム ロールを作成したら、ユーザー、グループ、またはアプリケーションに割り当てることができます。 ロールは、サブスクリプションまたはリソース グループ レベルで割り当てることができます。 リソース グループのレベルでロールを割り当てると、最も細かい制御が可能になります。
Azure portal を使用してリソース グループ レベルでユーザーにカスタム ロールを割り当てるには:
Azure portal でリソース グループに移動します。
[アクセス制御 (IAM)] を選択します。
「追加」>「ロールの割り当てを追加」を選択します。
割り当てるカスタム ロールを検索して選択します。 [次へ] を選択します。
ロールを割り当てるユーザーを選択します。 名前またはメール アドレスでユーザーを検索できます。
[ 確認と割り当て] を選択して、ロールの割り当てを確認します。 問題がなければ、[ 割り当て] を選択します。