Azureのサブスクリプションでリソースグループのみ作成可能なカスタムロールを作成してみました。
セキュリティの観点で最小の権限を付与する場合に利用することがあるかと思います。
リソースグループのみ作成可能なカスタムロールを作成する
リソースグループのみ作成可能であるカスタムロールを作成します。
・サブスクリプションを選択し、[アクセス制御(IAM)]-[+追加]-[カスタムロールの追加]をクリックします。
・「基本」タブで [カスタムロール名] を入力します。
※「説明」は必須項目ではないですが、必要があれば入力してください。
・「アクセス許可」タブで [アクセス許可] をクリックして権限を追加します。
・ポップアップ表示される「アクセス許可の追加」から付与したい権限が含まれる項目を選択します。
今回はリソースグループのみ作成可能である権限なので、[Microsoft Resources] を選択します。
・[Microsoft Resources] の中で [Creates Resource Group] にチェックを入れ「追加」をクリックします。
・「確認と作成」タブで確認したのちに「作成」をクリックして作成完了です。
作成後の確認
サブスクリプションの [アクセス制御(IAM)] 画面の「役割」タブから確認が可能です。
今回は検索ボックスに「リソースグループ」と入力して確認しています。
今回作成したカスタムロールの権限について
今回作成したカスタムロールはリソースグループ作成のみを実行することができる権限なので、リソースグループの閲覧も不可能となります。
なので、この権限を付与したユーザーでリソースグループを作成しても、作成者であるそのユーザーにも作成したリソースグループが見えないので、他の権限と組み合わせて利用する必要がある点には注意が必要です。
コメント