From 126fe63b5e744d4fbf3ef4a24e6b09c55a746a34 Mon Sep 17 00:00:00 2001 From: aykinoshita <74636331+aykinoshita@users.noreply.github.com> Date: Wed, 28 Jan 2026 10:38:06 +0900 Subject: [PATCH] =?UTF-8?q?=E3=83=AA=E3=83=B3=E3=82=AF=E5=88=87=E3=82=8C?= =?UTF-8?q?=E3=81=AE=E4=BF=AE=E6=AD=A3?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit 古いリンクの削除修正を実施しました。 --- articles/vm/create-custom-roles.md | 17 +++++------------ 1 file changed, 5 insertions(+), 12 deletions(-) diff --git a/articles/vm/create-custom-roles.md b/articles/vm/create-custom-roles.md index 5e907dabc4..3894afbaa5 100644 --- a/articles/vm/create-custom-roles.md +++ b/articles/vm/create-custom-roles.md @@ -1,6 +1,7 @@ --- title: 特定の操作における Azure カスタム ロールの作成について date: 2024-01-16 10:00:00 +updated: 2026-01-28 12:00 tags: - VM - RBAC @@ -22,7 +23,7 @@ Azure には既定で各リソース操作(アクション)の許可をま 参考)Azure 組み込みロール https://learn.microsoft.com/ja-jp/azure/role-based-access-control/built-in-roles > (抜粋) -> Azure ロールベースのアクセス制御 (Azure RBAC) には、ユーザー、グループ、サービス プリンシパル、マネージド ID に割り当てることのできる Azure 組み込みロールがいくつかあります。 ロールの割り当ては、Azure リソースへのアクセスを制御する方法です。 組み込みロールが組織の特定のニーズを満たさない場合は、独自の Azure カスタム ロールを作成することができます。 ロールの割り当て方法については、「Azure ロールを割り当てる手順」を参照してください。 +> Azure ロールベースのアクセス制御 (Azure RBAC) には、ユーザー、グループ、サービス プリンシパル、マネージド ID に割り当てることのできる Azure 組み込みロールがいくつか用意されています。 ロールの割り当ては、Azure リソースへのアクセスを制御する方法です。 組み込みロールが組織の特定のニーズを満たさない場合は、独自の Azure カスタム ロールを作成することができます。 ロールの割り当て方法については、「Azure ロールを割り当てる手順」を参照してください。 上記のドキュメントにて各組み込みロールで、実際にどのアクションが許可されているのかも確認が可能です。 @@ -34,11 +35,11 @@ https://learn.microsoft.com/ja-jp/azure/role-based-access-control/built-in-roles ここでは、Azure Portal から仮想マシンのディスクのスナップショットを取得するという操作を例に、当該操作を許可するためのアクションを確認し、カスタム ロールを作成していきます。 なお、他のどのような操作におきましても必要最小限のアクションのみが許可されたカスタム ロールを作成いただく場合、基本的には以下例のようにトライ アンド エラーを繰り返しながらカスタム ロールを作成いただくこととなります。 -### 手順 1.「Azure リソース プロバイダーの操作」より使用可能なアクセスアクションを検索し、カスタム ロールに含めるアクセスアクションを探します。 +### 手順 1.「Azure のアクセス許可」より使用可能なアクセスアクションを検索し、カスタム ロールに含めるアクセスアクションを探します。 Microsoft.Compute のリソース プロバイダーに対する操作となるため、Microsoft.Compute の項目を確認します。 -参考)Azure リソース プロバイダーの操作 +参考)Azure のアクセス許可 https://learn.microsoft.com/ja-jp/azure/role-based-access-control/resource-provider-operations ![](./create-custom-roles/01.png) @@ -115,9 +116,6 @@ OS ディスクのスナップショットを取得するため、対象とな リソースのデプロイ検証に必要なアクションが不足していることが分かります。 -参考)Microsoft.Resources -https://learn.microsoft.com/ja-jp/azure/role-based-access-control/resource-provider-operations#microsoftresources - | アクション | 説明 | |:-|:-| | Microsoft.Resources/deployments/validate/action | デプロイを検証します。 | @@ -135,9 +133,6 @@ https://learn.microsoft.com/ja-jp/azure/role-based-access-control/resource-provi デプロイの作成に必要となるアクションが不足していることが分かります。 -参考)Microsoft.Resources -https://learn.microsoft.com/ja-jp/azure/role-based-access-control/resource-provider-operations#microsoftresources - | アクション | 説明 | |:-|:-| | Microsoft.Resources/deployments/write | デプロイを作成または更新します。 | @@ -152,9 +147,6 @@ https://learn.microsoft.com/ja-jp/azure/role-based-access-control/resource-provi >The client 'testuser01@XXX' with object id 'XXX' has permission to perform action 'Microsoft.Compute/snapshots/write' on scope '/subscriptions/XXXXX/resourcegroups/rg_test/providers/Microsoft.Compute/snapshots/snapshot01'; however, it does not have permission to perform action(s) 'Microsoft.Compute/disks/beginGetAccess/action' on the linked scope(s) '/subscriptions/XXXXX/resourceGroups/rg_test/providers/Microsoft.Compute/disks/win2022_OsDisk_1_XXX (respectively) or the linked scope(s) are invalid。詳細については、ここをクリックしてください -参考)Microsoft.Compute -https://learn.microsoft.com/ja-jp/azure/role-based-access-control/resource-provider-operations#microsoftcompute - | アクション | 説明 | |:-|:-| | Microsoft.Compute/disks/beginGetAccess/action | BLOB へのアクセス用にディスクの SAS URI を取得します。 | @@ -226,3 +218,4 @@ https://docs.microsoft.com/ja-jp/azure/role-based-access-control/scope-overview ・リソース操作を行うツールについて Azure Portal や Azure PowerShell、Azure CLI 等のツールからリソースを操作することが可能ですが、操作を行うツールによって必要となるアクションが異なるケースがございます。このような場合は、リソース操作を行うツールにて検証を行い、必要となるアクションを取捨選択いただきますようお願い申し上げます。 +