サブスクリプションやリソース(スコープ)を研究室のメンバーや共同研究者で共有したい場合は,代表者がサブスクリプションを申請し,そのサブスクリプションにメンバーを適切な権限(ロール)で追加することで共有することが可能になります.
また,どのリソースに,誰を,どのロールで割り当てるかで共有者ができることが変わってきます.
権限の割り当て手順は,このリンク先を参照ください.
よくわからない場合は,主には以下のような割り当てを推奨します.
- 教員との共有:費用面も含めた共有は所有者ロールでサブスクリプションに割り当て.費用面を含めない場合は共同作成者ロールでサブスクリプションに割り当て.
- 学生との共有:サービスリソースの新規構築も含めて委任する場合は共同作成者ロールでサブスクリプションに割り当て.既存サービスの管理のみ任せる場合は共同作成者でリソースまたはリソースグループに割り当て.
- 利用するのみ:管理はせず利用だけする場合は、そのサービス側にアカウントや権限を割り当てて,サブスクリプションやリソースにはロールを割り当てない.なおこの場合,サービスによってアカウントや権限の割り当て方は違うので,詳細は各サービスのヘルプ等を参照ください.
ロールとメンバー(ロールベースアクセス制御:RBAC)
Microsoft Azure では,各スコープにアクセスできる権限を,どの権限(ロール)を,誰(メンバー)に割り当てるかを設定することで,他のアカウントに付与することができます.これをロールベースアクセス制御(RBAC)と呼び,この機能によって作成したサブスクリプションやリソースを共有します.
権限の継承
Microsoft Azure は上位スコープの権限を下位に継承します.具体的には下図のより内側のスコープはより外側のスコープの権限を継承します.権限は不可逆で,より外側へは継承しません.最上位スコープはサブスクリプションになります.
- 仮想マシン等,デプロイされたサービスについては権限継承の例外になる場合があります.(後述)
- 必ずしも継承しないケースもあります.継承されていることが重要な場合は必ず継承されていることを確認し,されていない場合は個別に必要な権限を割り当ててください.
サブスクリプションに所有者ロールでメンバーを割り当てる.
所有者は全てのロールを割り当てることができる権限(例外あり)であり,初期設定では申請者の UTokyo Account で割り当てられています.主な権限としては以下があります.
- 他のメンバーをサブスクリプションにロール割り当てする.
- ただし,所有者ロールをメンバーに割り当てる際の条件付けによっては,そのメンバーには一部の権限が無い場合がある.
- UTokyo Azure 新規申請ページの管理ページで,そのサブスクリプションの詳細を表示する.
- 無料分や無料保証枠の現在の上限値は UTokyo Azure 新規申請ページの管理ページでしか確認できません.
- 請求情報も表示されるので,誤ったメンバーに所有者権限を与えないようご注意ください.
- そのサブスクリプションを用い新しいサービスのリソースを作成する.
基本的に,そのサブスクリプションを別のメンバーに完全に引き継ぐ用途以外では,他のメンバーをすべてのロールを割り当てることができる所有者の権限で割り当てることは推奨されません.共有目的でそのメンバーに所有者権限が必要な場合は,割り当て時に条件付きの選択をするなど考慮ください.
サブスクリプションに共同作成者ロールでメンバーを割り当てる.
共同作成者は,他のメンバーに権限を割り当てることができないこと以外は所有者と同じ権限を有します.通常,サブスクリプションを他のメンバーと共有する場合はこちらの権限を付与してください.
- 権限がある
- そのサブスクリプションによる新しいサービスのリソースを作成する.
- 権限がない
- 他のメンバーを各スコープにロール割り当をする.
- UTokyo Azure 新規申請ページの管理ページでそのサブスクリプションの詳細を表示する.
リソースまたはリソースグループに所有者ロールでメンバーを割り当てる.
リソースに関してすべてのロールを割り当てる権限が割り当てられます.
- 権限がある
- 他のメンバーをリソースまたはリソースグループにロール割り当てをする.
- ただし,所有者ロールをメンバーに割り当てる際の条件付けによっては,そのメンバーに一部の権限が無い場合がある.
- リソースグループの中に、新たなリソースを作成する.
- 例:仮想マシンに新たなインターフェースを追加する,サブネットワークを新規リソースで追加する等.
- 他のメンバーをリソースまたはリソースグループにロール割り当てをする.
- 権限がない
- 新しいサービスのリソースまたはリソースグループを作成する.
リソースまたはリソースグループに共同作成者ロールでメンバーを割り当てる.
他のメンバーに権限を付与することができない以外は,所有者と同じ権限を有します.
- 権限がある
- リソースグループの中に、新たなリソースを作成する.
- 例:仮想マシンに新たなインターフェースを追加する,サブネットワークを新規リソースで追加する等.
- リソースグループの中に、新たなリソースを作成する.
- 権限がない
- 他のメンバーをリソースまたはリソースグループにロール割り当てをする.
- 新しいサービスのリソースを作成する.
デプロイされたサービスの権限について
デプロイされたサービスには,Azure の権限継承が及ばない場合があります.
- 一例として,仮想マシンをデプロイした場合,その OS のシステムアカウントや管理権限は Azure サービスの権限は継承されず別管理となります.
- このようなサービスでメンバーをサービスにのみ追加したい場合は,Azure には設定せずデプロイしたサービスにのみアカウントや権限を設定してください.