演習 - ユーザーとグループを作成する

  • 7 分

このガイド付きプロジェクトは、次の演習で構成されています。

  • ユーザーとグループを作成する
  • スコープで RBAC ロールを割り当てる
  • 最小特権モデルを確認する

この演習では、セキュリティ グループと新しいユーザー アカウントを作成し、そのユーザーをグループに追加します。 これにより、次の演習でアクセス許可を割り当てる ID 基盤が設定されます。

この演習には、次のタスクが含まれています。

  • 環境の準備
  • テスト ストレージ アカウントを作成する
  • セキュリティ グループを作成する
  • ユーザー アカウントを作成する
  • ユーザーをグループに追加する

結果: 新しいユーザー アカウントとセキュリティ グループは、アクセス割り当ての準備ができています。

ヒント

各主要なアクションの後に一時停止し、次に進む前にページの状態を確認します。 この習慣は、複合的な間違いを防ぎます。

タスク 1: 環境を準備する

開始する前に、Azure 環境を設定します。 アクセス制御を実践するための安全なサンドボックスとして、リソース グループとテスト リソースを作成します。

Warnung

このプロジェクトでは、料金が発生する可能性がある Azure リソースが作成されます。 意図しない費用を避けるために、作業が終わったらクリーンアップ処理を行ってください。

  1. ユーザーとロールの割り当てを管理できるアカウントで Azure portal にサインインします。
  2. ポータルの検索バーで、 リソース グループ を検索し、[ リソース グループ] を選択します。
  3. [+ 作成] を選択します。 -access-modelrg-gp リソース グループに名前を付け、目的のリージョンを選択し、[確認と作成] を選択してから [作成] を選択します。

タスク 2: テスト ストレージ アカウントを作成する

リソース グループ内にストレージ アカウントを作成します。 このリソースは、RBAC ロールの割り当てのスコープを提供します。

  1. ポータルの検索バーで、 ストレージ アカウント を検索し、[ ストレージ アカウント] を選択します。
  2. [+ 作成] を選択します。
  3. [基本] タブで、リソース グループとして rg-gp-access-model を選択します。
  4. ストレージ アカウント名には、グローバルに一意の名前 (stgpaccessmodel の後にイニシャルと数字など) を入力します。
  5. [リージョン] には、リソース グループと同じリージョンを使用します。
  6. [優先ストレージの種類] でAzure Blob Storage または Azure Data Lake Storage Gen 2 を選択します。
  7. [パフォーマンス] には [Standard] を選択します
  8. [冗長] には [ローカル冗長ストレージ (LRS)] を選びます。
  9. [確認および作成] を選択し、次に [作成] を選択します。
  10. デプロイが完了したら、[リソースに移動] を選択します。

タスク 3: セキュリティ グループを作成する

新しいユーザーのコンテナーとして機能するセキュリティ グループを設定します。 グループを使用すると、アクセス許可管理がスケーラブルになります。アクセス許可をグループに 1 回割り当てた後、必要に応じてユーザーを追加または削除します。

  1. ポータルの検索バーで、 Microsoft Entra ID を 検索し、 Microsoft Entra ID を選択します
  2. 左側のメニューの [ 管理] で、[グループ] を選択 します
  3. 新しいグループを選択します。
  4. [グループの種類] で、[セキュリティ] を選択します。
  5. [グループ名]gp-rg-readersと入力します。
  6. [グループの説明] に、ガイド付きプロジェクト リソース グループの閲覧者を入力します。
  7. を選択してを作成します。

検証手順:gp-rg-readers セキュリティ グループがテナントに存在するようになったかどうかを確認します。

各演習には、次のような検証手順が含まれています。 行くにつれて結果を追跡します。このモジュールの最後にある検証ユニットですべての結果を確認します。

タスク 4: ユーザー アカウントを作成する

チーム メンバーの Entra ID で新しい ID を作成します。 このユーザー アカウントはセキュリティ グループに追加され、そのグループに割り当てられているすべてのアクセス許可が継承されます。

  1. ポータルの検索バーで、 Microsoft Entra ID を 検索し、 Microsoft Entra ID を選択します
  2. 左側のメニューの [ 管理] で、[ユーザー] を選択 します
  3. [ 新しいユーザー ] を選択し、[ 新しいユーザーの作成] を選択します。
  4. [ユーザー プリンシパル名] に、一意の名前 (alexgp など) を入力します。 これは、ユーザーが Azure へのアクセスに使用するサインイン名です (テナント ドメインと組み合わせると、 alexgp@yourtenant.onmicrosoft.comのようになります)。 この値を記録します。後で検証するために必要です。
  5. [表示名] に「Alex Guided Project」と入力します。
  6. [確認および作成] を選択し、次に [作成] を選択します。
  7. [ユーザー] リストが自動的に更新されない場合があります。 [ 最新の情報に更新] を選択して、新しいユーザーが一覧に表示されたことを確認します。

検証手順: 新しいユーザー アカウントが作成されていることを確認します。 後で検証するために、ユーザー プリンシパル名 (UPN) を記録します。

タスク 5: ユーザーをグループに追加する

新しいユーザーを追加して、グループ メンバーシップを完了します。 これにより、ユーザーとグループの間の接続が確立されるため、ユーザーはグループに割り当てられているすべての RBAC アクセス許可を継承するようになりました。

  1. [ユーザー] ボックスの一覧で、 Alex ガイド付きプロジェクトの左側にあるチェック ボックスをオンにします。
  2. 上部の水平メニューで、[ 編集] を選択します。
  3. [ グループに追加] を選択します。
  4. gp-rg-readers を検索して選択し、[選択] を選択します

検証手順: ユーザーが gp-rg-reader のメンバーになっていることを確認します。 このグループに割り当てられている RBAC アクセス許可は、すべてのメンバーに適用されます。