azure-recipe-user 今回は、自分のAzureアカウント内にあるリソースを他のMicrosoftアカウントからアクセス・操作する権限を設定する方法についてご紹介します。
アカウント間での共有について
Azureにおいて自分のアカウント情報を他Microsoftアカウントと共有する方法は大きく分けて二通りあります。
・サブスクリプションに対してアクセスできるユーザーの権限を設定する
・個別のリソースグループに対してアクセスできるユーザーの権限を設定する
それぞれ権限を設定する範囲が異なり、用途・目的に応じて使い分けることが可能です。
例えば、とあるユーザーにはサブスクリプション全体での共同管理者の権限を付与する一方で、他のユーザーには特定のリソースグループの閲覧のみ許可するという使い分けができます。
権限を設定する手順
サブスクリプション・リソースグループ共に設定手順はほぼ同じです。
それぞれ、Azureポータルから該当のサブスクリプション・リソースグループ管理画面から権限設定を行うことができます。
今回はサブスクリプションに対して設定する場合を例に操作してみます。
まずはAzureポータルの左ペインからサブスクリプションを選択します。
権限を設定するサブスクリプションを選択します。
「役割」タイル、もしくは「ユーザー」タイルから権限設定が可能です。
設定できる権限は下の画像にある通りです。
今回は「従来の仮想マシン作成協力者」を設定します。
「追加」アイコンをクリックします。
ユーザーを追加する方法は二通りあります。
・規定のディレクトリ内にいないユーザーを追加する場合は「招待する」をクリックします。
・Active Directory内のユーザーを追加する場合は検索欄にユーザー名かメールアドレスを入力します。
今回はディレクトリ外のユーザーを追加します。
「招待する」アイコンをクリックします。
招待するユーザーのMicrosoftアカウントを入力します。
最後に「選択」ボタンをクリックすると招待がされます。
確認
それでは招待されたユーザーでAzureポータルにログインをしてみます。
元々、このユーザーはサブスクリプションを持っていないのですが、先ほど権限設定したサブスクリプションにアクセスすることができました。
設定した権限が「従来の仮想マシン作成協力者」である為、クラシックで作成された仮想マシンのみアクセスが可能です。
また、招待されたユーザーは以後、Active Directoryに登録される為、権限を変更する場合などは検索欄から探すことができます。
いかがでしたでしょうか。
サブスクリプションやリソースグループ単位でアクセス権限を割り振ることで、組織内の多様なユーザーに適切な権限付与が可能です。
次回もお楽しみに!
