エージェントは、問題を調査し、運用インフラストラクチャに対してアクションを実行し、環境内の機密データにアクセスできます。 アクセス制御は、アクションを要求できるユーザー、アクションを承認できるユーザー、エージェントの構成を変更できるユーザーを決定します。
アクセス制御の概要
アクセス制御は、次の 3 つのレイヤーで機能します。
| レイヤー | コントロール | 設定場所: |
|---|---|---|
| ユーザー ロール (このページ) | エージェントでユーザーができること | エージェント リソース上のAzure IAM |
| 実行モード | エージェントが動作する前に尋ねるかどうか | 各応答プランおよび各スケジュールタスクに基づいて |
| エージェントのアクセス許可 | エージェントがAzureでアクセスできるもの |
リソース グループの RBAC ロール |
3 つの組み込みロール
| 役割 | できること | できない |
|---|---|---|
| SRE エージェント リーダー | スレッド、ログ、インシデントを表示する | チャット、アクションの要求、何かを変更する |
| SRE エージェント標準ユーザー | チャット、診断の実行、アクションの要求 | アクションの承認、リソースの削除、コネクタの変更 |
| SRE エージェント管理者 | アクションの承認、コネクタの管理、リソースの削除 | — |
エージェントを作成したユーザーは、 SRE エージェント管理者 ロールを自動的に受け取ります。
誰がどの役割を持つべきですか?
| 役割 | 渡す |
|---|---|
| SRE エージェント リーダー | 監査者、コンプライアンス チーム、可視性が必要な利害関係者 |
| SRE エージェント標準ユーザー | L1/L2 エンジニア、初動対応者、問題を診断するユーザー |
| SRE エージェント管理者 | SRE マネージャー、クラウド管理者、インシデントの指揮官 |
ポータルでアクセス許可を適用する方法
エージェントにアクセスすると、ポータルによってAzureロールの割り当てが確認されます。 アクセスは 2 つのレベルで適用されます。
エージェントのアクセスがありません
SRE エージェントロールの割り当てがない場合、ポータルにはアクセス必須画面が表示され、シールド アイコンとAzure IAM ブレードを開く [Access Control] ボタンが表示されます。 リソースに対して Azure の所有者または共同作成者である場合、管理者ロールを自動的に割り当てるバナーが表示されます。
バックエンドの適用
SRE エージェント ロールがあるが、アクセス許可を超えてアクションを試みると、 バックエンドは 403 エラーでアクションをブロックします。 ポータルを使用すると、ページに移動したりボタンを選択したりできますが、サーバーに到達すると、操作はアクセス許可エラーで失敗します。
注
一部のポータル機能では、書き込みアクセス許可がない場合にボタンが事前に無効になります。 ただし、これはすべての機能でまだ一貫しているわけではありません。バックエンドでは、UI に表示される内容に関係なく、常に適切なアクセス許可が適用されます。
各ロールがアクセスできる内容
| 面積 | Reader | 標準ユーザー | 管理者 |
|---|---|---|---|
| チャット | スレッドの表示 (読み取り専用) | メッセージの送信、スレッドの開始 | フル アクセス + アクションの承認、スレッドの削除 |
| エージェントキャンバス | カスタム エージェントを表示する | カスタム エージェントを表示する | カスタム エージェントの作成、編集、削除 |
| ナレッジ ベース | ドキュメントを参照する | ドキュメントのアップロード | ドキュメントのアップロードと削除 |
| コネクタ | コネクタの表示 | コネクタの表示 | コネクタの追加、編集、削除 |
| 対応計画 | プランを表示する | プランを表示する | プランの作成、編集、削除 |
| 管理対象リソース | リソースの表示 | リソースの表示 | リソースの追加、削除 |
| [設定] | 設定の表示 | 設定の表示 | 設定の変更、エージェントの停止/削除 |
ロールを割り当てる
Azure ポータル (Access コントロール (IAM)>ロールの割り当ての追加) またはAzure CLIを使用してロールを割り当てます。
az role assignment create \
--assignee user@company.com \
--role "SRE Agent Administrator" \
--scope <agent-resource-id>
必要に応じて、ロール名を SRE Agent Standard User または SRE Agent Reader に置き換えます。
ロールの連携のしくみ
| Step | 誰 | アクション |
|---|---|---|
| 1 | エンジニア (標準ユーザー) | "構成の問題を修正する" |
| 2 | エージェント | 修正計画を作成 |
| 3 | エージェント | 実行できない (管理者の承認が必要) |
| 4 | マネージャー (管理者) | レビューし承認する |
| 5 | エージェント | マネージド ID を使用して修正プログラムを実行する |