ユーザーがリソースへのアクセス権を持っているどうかを RBAC が特定する方法

管理プレーン上のリソースへのアクセス権をユーザーが持っているかどうかを判断するために RBAC が使用する手順の概要を次に示します。

これは、アクセスの問題のトラブルシューティングを行う場合に理解していると役に立ちます。

ユーザー (またはサービスプリンシパル) は、Azure Resource Manager に対するトークンを取得します。

トークンには、ユーザーのグループメンバーシップが含まれています (推移的なグループメンバーシップを含みます)。

ユーザーは、トークンを添付して Azure Resource Manager への REST API の呼び出しを行います。

Azure Resource Manager では、アクション実行対象リソースに適用されるすべてのロール割り当てと拒否割り当てが取得されます。

Azure Resource Manager は、このユーザーまたはユーザーのグループに適用されるロールの割り当てを絞り込み、このリソースに対してユーザーが持っているロールを特定します。

Azure Resource Manager は、API 呼び出しでのアクションが、このリソースに対してユーザーが持っているロールに含まれるかどうかを判別します。

要求されたスコープでのアクションを含むロールをユーザーが持っていない場合、アクセスは許可されません。それ以外の場合、Azure Resource Manager は拒否割り当てが適用されるかどうかを確認します。

拒否割り当てが適用される場合、アクセスはブロックされます。それ以外の場合、アクセスは許可されます。