Azureのサブスクリプションでリソースグループのみ作成可能なカスタムロールを作成してみました。
セキュリティの観点で最小の権限を付与する場合に利用することがあるかと思います。
リソースグループのみ作成可能なカスタムロールを作成する
リソースグループのみ作成可能であるカスタムロールを作成します。
・サブスクリプションを選択し、[アクセス制御(IAM)]-[+追加]-[カスタムロールの追加]をクリックします。
![サブスクリプションを選択し、[アクセス制御(IAM)]-[+追加]-[カスタムロールの追加]をクリック](https://bonjiri-blog.com/wp-content/uploads/create-custom-role-for-rbac-001.png)
・「基本」タブで [カスタムロール名] を入力します。
※「説明」は必須項目ではないですが、必要があれば入力してください。
![「基本」タブで [カスタムロール名] を入力](https://bonjiri-blog.com/wp-content/uploads/create-custom-role-for-rbac-002.png)
・「アクセス許可」タブで [アクセス許可] をクリックして権限を追加します。
![「アクセス許可」タブで [アクセス許可] をクリック](https://bonjiri-blog.com/wp-content/uploads/create-custom-role-for-rbac-003.png)
・ポップアップ表示される「アクセス許可の追加」から付与したい権限が含まれる項目を選択します。
今回はリソースグループのみ作成可能である権限なので、[Microsoft Resources] を選択します。
・[Microsoft Resources] の中で [Creates Resource Group] にチェックを入れ「追加」をクリックします。
![[Microsoft Resources] の中で [Creates Resource Group] にチェックを入れ「追加」をクリック](https://bonjiri-blog.com/wp-content/uploads/create-custom-role-for-rbac-005-800x407.png)
・「確認と作成」タブで確認したのちに「作成」をクリックして作成完了です。
作成後の確認
サブスクリプションの [アクセス制御(IAM)] 画面の「役割」タブから確認が可能です。
今回は検索ボックスに「リソースグループ」と入力して確認しています。
![[アクセス制御(IAM)] 画面の「役割」タブからカスタムロールの確認が可能](https://bonjiri-blog.com/wp-content/uploads/create-custom-role-for-rbac-007.png)
今回作成したカスタムロールの権限について
今回作成したカスタムロールはリソースグループ作成のみを実行することができる権限なので、リソースグループの閲覧も不可能となります。
なので、この権限を付与したユーザーでリソースグループを作成しても、作成者であるそのユーザーにも作成したリソースグループが見えないので、他の権限と組み合わせて利用する必要がある点には注意が必要です。
