Azure カスタム ロールに割り当てる最小アクセス許可の調べ方

0. 注意点

2022年4月時点の情報です。最新情報は別途ご確認ください。

1.公式ドキュメントの記載

手順 1:必要なアクセス許可を決定する
Azure には、カスタム ロールに含めることができる何千ものアクセス許可があります。 カスタム ロールに追加するアクセス許可を決定するのに役立ついくつかの方法を示します。
・既存の組み込みロールを確認します。
・アクセス権を付与する Azure サービスを一覧表示します。
・Azure サービスにマップされるリソース プロバイダーを決定します。 検索方法については、次を参照してください: ステップ 4: Permissions(次へ: アクセス許可) をクリックします。
・使用可能なアクセス許可を検索して、含めるアクセス許可を見つけます。 検索方法については、次を参照してください: ステップ 4: Permissions(次へ: アクセス許可) をクリックします。

Azure portal を使用して Azure カスタム ロールを作成または更新する

本noteではドキュメントの記載をもとに、実際に行った最小アクセス許可の調査方法、および調査した際に気づいた点などについてまとめます。

2. サービスに割り当てられるアクセス許可の確認

ドキュメントではなく実際にAzure ポータル上で割り当て可能なアクセス許可を確認する。
[サブスクリプション or リソースグループ] > [アクセス制御(IAM)] > [＋追加] > [ロールの割り当ての追加]を選択

カスタムロールを作成する ページの[アクセス許可] > [＋アクセス許可の追加]を選択

各サービスごとに割り当て可能なアクセス許可がまとめて表示されるので、こちらから調査したいサービスを選択する。
今回はAzure Synapse Analytics(workspaces)を調べる

以下のように割り当て可能なアクセス許可とそのアクセス許可の説明がまとめられているので、こちらで必要と思われる権限を確認する

3. 確認したアクセス許可で想定する作業ができるか検証する

以下ドキュメントの手順に従って、「2. サービスに割り当てられるアクセス許可の確認」で確認したアクセス許可を割り当てたカスタムロール、およびカスタムロールを割り当てたユーザーを用意し、実際に想定する作業ができるかを検証する。
[参考資料]
Azure portal を使用して Azure カスタム ロールを作成または更新する

この時、カスタムロールの作成、割り当て後5~10分ほどアクセス許可が適用されるまでに時間がかかるので注意が必要

4. 所感

Azure ポータル上の [＋アクセス許可の追加]画面で割り当て可能なアクセス許可の一覧がかなり見やすくなったので、必要なアクセス許可を調べる場合はこちらを確認するのが良いと思います。

その他、記事の内容について何かあればコメントにご記載ください