リリースノート
Connector の Azure 権限
変更を提案
PDF
BlueXPがAzureでConnector VMを起動すると、そのAzureサブスクリプション内のリソースとプロセスを管理するための権限をConnectorに提供するカスタムロールがVMに割り当てられます。Connectorは、権限を使用して複数のAzureサービスに対してAPI呼び出しを実行します。
コネクタにこのカスタムロールを作成する必要があるかどうかは、その配置方法によって異なります。
BlueXP を使用してAzureにConnector仮想マシンを導入すると、仮想マシンでが有効になり "システムによって割り当てられた管理 ID"、カスタムロールが作成されて仮想マシンに割り当てられます。このロールは、そのAzureサブスクリプション内でリソースとプロセスを管理するために必要な権限をBlueXPに提供します。コネクタがアップグレードされると、ロールの権限は最新の状態に保たれます。コネクタ用にこのロールを作成したり、更新を管理したりする必要はありません。
Azure Marketplaceからコネクタを導入する場合、またはLinuxホストにコネクタを手動でインストールする場合は、カスタムロールを自分で設定し、変更があった場合は権限を維持する必要があります。
今後のリリースで新しい権限が追加されるため、ロールが最新の状態になっていることを確認する必要があります。新しい権限が必要な場合は、リリースノートに記載されます。
-
これらのポリシーの使用手順については、次のページを参照してください。
Azure権限の使用方法
以降のセクションでは、各BlueXPサービスでの権限の使用方法について説明します。この情報は、企業のポリシーによって、必要な場合にのみアクセス許可が指定されるように指定されている場合に役立ちます。
Azure NetApp Files の特長
BlueXP分類を使用してAzure NetApp Filesデータをスキャンする場合、コネクタは次のAPI要求を行います。
-
Microsoft.NetApp/netAppAccounts/read
-
Microsoft.NetApp/netAppAccounts/capacityPools/read
-
Microsoft.NetApp/netAppAccounts/capacityPools/volumes/write
-
Microsoft.NetApp/netAppAccounts/capacityPools/volumes/read
-
Microsoft.NetApp/netAppAccounts/capacityPools/volumes/delete
バックアップとリカバリ
コネクタは、BlueXPのバックアップとリカバリ用に次のAPI要求を行います。
-
microsoft.Storage/storageAccounts/listkeys/action
-
microsoft.Storage/storageAccounts/read
-
microsoft.Storage/storageAccounts/write
-
microsoft.Storage/storageAccounts/blobServices/container/read
-
microsoft.Storage/storageAccountSas/action
-
microsoft.KeyVault/vaults/read
-
Microsoft。KeyVault/vaults/accessPolicies/write
-
Microsoft.Network/networkInterfaces/read
-
microsoft.Resources/Subscriptions /locations /read
-
Microsoft.Network/virtualNetworks/read
-
Microsoft.Network/virtualNetworks/subnets/read
-
microsoft.Resources/Subscriptions /resourceGroups/read
-
microsoft.resources/Subscriptions /resourcegroups/resources/read
-
microsoft.Resources/Subscriptions /resourceGroups/write
-
Microsoft 。許可/ロック/
-
Microsoft.Network/privateEndpoints/write
-
Microsoft.Network/privateEndpoints/read
-
Microsoft.Network/privateDnsZones/virtualNetworkLinks/write
-
Microsoft.Network/virtualNetworks/join/action
-
Microsoft.Network/privateDnsZones/A/write
-
Microsoft.Network/privateDnsZones/read
-
Microsoft.Network/privateDnsZones/virtualNetworkLinks/read
-
Microsoft.Network/networkInterfaces/delete
-
Microsoft.Network/networkSecurityGroups/delete
-
microsoft.Resources/Deployments/delete
-
microsoft.ManagedIdentity/userAssignedIdentities/assign/action
検索とリストア機能を使用すると、コネクタは次のAPI要求を実行します。
-
Microsoft .Synapse/workspaces /書き込み
-
Microsoft . Synapse/workspaces / read
-
Microsoft .Synapse/workspaces /削除
-
Microsoft .Synapse/register/action
-
microsoft.Synapse/checkNameAvailability/action
-
Microsoft .Synapse/workspaces /operationStatuses /read
-
Microsoft . Synapse/workspaces / firewallRules/read
-
Microsoft .Synapse/workspaces/replaceAllIpFirewallRules/action
-
Microsoft .Synapse/workspaces /操作結果/読み取り
-
Microsoft .Synapse/workspaces /privateEndpointConnectionsApproval / action
分類
BlueXP分類を使用する場合、コネクタは次のAPI要求を行います。
| アクション | セットアップに使用? | 日々の業務に使用されるか? |
|---|---|---|
Microsoft.Compute/locations/operations/read |
はい。 |
はい。 |
Microsoft.Compute/locations/vmSizes/read |
はい。 |
はい。 |
Microsoft.Compute/operations/read |
はい。 |
はい。 |
Microsoft.Compute/virtualMachines/instanceView/read |
はい。 |
はい。 |
Microsoft.Compute/virtualMachines/powerOff/action |
はい。 |
いいえ |
Microsoft.Compute/virtualMachines/read |
はい。 |
はい。 |
Microsoft.Compute/virtualMachines/restart/action |
はい。 |
いいえ |
Microsoft.Compute/virtualMachines/start/action |
はい。 |
いいえ |
Microsoft.Compute/virtualMachines/vmSizes/read |
いいえ |
はい。 |
Microsoft.Compute/virtualMachines/write |
はい。 |
いいえ |
Microsoft.Compute/images/read |
はい。 |
はい。 |
Microsoft.Compute/disks/delete |
はい。 |
いいえ |
Microsoft.Compute/disks/read |
はい。 |
はい。 |
Microsoft.Compute/disks/write |
はい。 |
いいえ |
Microsoft. Storage/checknameavailability/read |
はい。 |
はい。 |
Microsoft。ストレージ/運用/読み取り |
はい。 |
はい。 |
microsoft.Storage/storageAccounts/listkeys/action |
はい。 |
いいえ |
microsoft.Storage/storageAccounts/read |
はい。 |
はい。 |
microsoft.Storage/storageAccounts/write |
はい。 |
いいえ |
microsoft.Storage/storageAccounts/blobServices/container/read |
はい。 |
はい。 |
Microsoft.Network/networkInterfaces/read |
はい。 |
はい。 |
Microsoft.Network/networkInterfaces/write |
はい。 |
いいえ |
Microsoft.Network/networkInterfaces/join/action |
はい。 |
いいえ |
Microsoft.Network/networkSecurityGroups/read |
はい。 |
はい。 |
Microsoft.Network/networkSecurityGroups/write |
はい。 |
いいえ |
microsoft.Resources/Subscriptions /locations /read |
はい。 |
はい。 |
Microsoft.Network/locations/operationResults/read |
はい。 |
はい。 |
Microsoft.Network/locations/operations/read |
はい。 |
はい。 |
Microsoft.Network/virtualNetworks/read |
はい。 |
はい。 |
Microsoft.Network/virtualNetworks/checkIpAddressAvailability/read |
はい。 |
はい。 |
Microsoft.Network/virtualNetworks/subnets/read |
はい。 |
はい。 |
Microsoft.Network/virtualNetworks/subnets/virtualMachines/read |
はい。 |
はい。 |
Microsoft.Network/virtualNetworks/virtualMachines/read |
はい。 |
はい。 |
Microsoft.Network/virtualNetworks/subnets/join/action |
はい。 |
いいえ |
Microsoft.Network/virtualNetworks/subnets/write |
はい。 |
いいえ |
Microsoft.Network/routeTables/join/action |
はい。 |
いいえ |
microsoft.Resources/Deployments/operations/read |
はい。 |
はい。 |
Microsoft .Resources/Deployments/read |
はい。 |
はい。 |
Microsoft .Resources/Deployments/write |
はい。 |
いいえ |
microsoft.resources/resources/read |
はい。 |
はい。 |
microsoft.Resources/Subscriptions /operationresults/read |
はい。 |
はい。 |
microsoft.Resources/Subscriptions /resourceGroups/delete |
はい。 |
いいえ |
microsoft.Resources/Subscriptions /resourceGroups/read |
はい。 |
はい。 |
microsoft.resources/Subscriptions /resourcegroups/resources/read |
はい。 |
はい。 |
microsoft.Resources/Subscriptions /resourceGroups/write |
はい。 |
いいえ |
Cloud Volumes ONTAP
Connectorは、AzureでCloud Volumes ONTAP の導入と管理を行うために次のAPI要求を実行します。
| 目的 | アクション | 導入に使用 | 日々の業務に使用されるか? | 削除しますか? |
|---|---|---|---|---|
VMの作成と管理 |
Microsoft.Compute/locations/operations/read |
はい。 |
はい。 |
いいえ |
Microsoft.Compute/locations/vmSizes/read |
はい。 |
はい。 |
いいえ |
|
microsoft.Resources/Subscriptions /locations /read |
はい。 |
いいえ |
いいえ |
|
Microsoft.Compute/operations/read |
はい。 |
はい。 |
いいえ |
|
Microsoft.Compute/virtualMachines/instanceView/read |
はい。 |
はい。 |
いいえ |
|
Microsoft.Compute/virtualMachines/powerOff/action |
はい。 |
はい。 |
いいえ |
|
Microsoft.Compute/virtualMachines/read |
はい。 |
はい。 |
いいえ |
|
Microsoft.Compute/virtualMachines/restart/action |
はい。 |
はい。 |
いいえ |
|
Microsoft.Compute/virtualMachines/start/action |
はい。 |
はい。 |
いいえ |
|
Microsoft.Compute/virtualMachines/deallocate/action |
いいえ |
はい。 |
はい。 |
|
Microsoft.Compute/virtualMachines/vmSizes/read |
いいえ |
はい。 |
いいえ |
|
Microsoft.Compute/virtualMachines/write |
はい。 |
はい。 |
いいえ |
|
Microsoft.Compute/virtualMachines/delete |
はい。 |
はい。 |
はい。 |
|
microsoft.Resources/Deployments/delete |
はい。 |
いいえ |
いいえ |
|
VHDからの導入を有効にします |
Microsoft.Compute/images/read |
はい。 |
いいえ |
いいえ |
Microsoft.Compute/images/write |
はい。 |
いいえ |
いいえ |
|
ターゲットサブネットのネットワークインターフェイスを作成および管理します |
Microsoft.Network/networkInterfaces/read |
はい。 |
はい。 |
いいえ |
Microsoft.Network/networkInterfaces/write |
はい。 |
はい。 |
いいえ |
|
Microsoft.Network/networkInterfaces/join/action |
はい。 |
はい。 |
いいえ |
|
Microsoft.Network/networkInterfaces/delete |
はい。 |
はい。 |
いいえ |
|
ネットワークセキュリティグループを作成および管理します |
Microsoft.Network/networkSecurityGroups/read |
はい。 |
はい。 |
いいえ |
Microsoft.Network/networkSecurityGroups/write |
はい。 |
はい。 |
いいえ |
|
Microsoft.Network/networkSecurityGroups/join/action |
はい。 |
いいえ |
いいえ |
|
Microsoft.Network/networkSecurityGroups/delete |
いいえ |
はい。 |
はい。 |
|
リージョンおよびターゲットのVNetとサブネットのネットワーク情報を取得し、VMをVNetに追加します |
Microsoft.Network/locations/operationResults/read |
はい。 |
はい。 |
いいえ |
Microsoft.Network/locations/operations/read |
はい。 |
はい。 |
いいえ |
|
Microsoft.Network/virtualNetworks/read |
はい。 |
いいえ |
いいえ |
|
Microsoft.Network/virtualNetworks/checkIpAddressAvailability/read |
はい。 |
いいえ |
いいえ |
|
Microsoft.Network/virtualNetworks/subnets/read |
はい。 |
はい。 |
いいえ |
|
Microsoft.Network/virtualNetworks/subnets/virtualMachines/read |
はい。 |
はい。 |
いいえ |
|
Microsoft.Network/virtualNetworks/virtualMachines/read |
はい。 |
はい。 |
いいえ |
|
Microsoft.Network/virtualNetworks/subnets/join/action |
はい。 |
はい。 |
いいえ |
|
リソースグループを作成および管理する |
microsoft.Resources/Deployments/operations/read |
はい。 |
はい。 |
いいえ |
Microsoft .Resources/Deployments/read |
はい。 |
はい。 |
いいえ |
|
Microsoft .Resources/Deployments/write |
はい。 |
はい。 |
いいえ |
|
microsoft.resources/resources/read |
はい。 |
はい。 |
いいえ |
|
microsoft.Resources/Subscriptions /operationresults/read |
はい。 |
はい。 |
いいえ |
|
microsoft.Resources/Subscriptions /resourceGroups/delete |
はい。 |
はい。 |
はい。 |
|
microsoft.Resources/Subscriptions /resourceGroups/read |
いいえ |
はい。 |
いいえ |
|
microsoft.resources/Subscriptions /resourcegroups/resources/read |
はい。 |
はい。 |
いいえ |
|
microsoft.Resources/Subscriptions /resourceGroups/write |
はい。 |
はい。 |
いいえ |
|
Azureストレージアカウントおよびディスクを管理する |
Microsoft.Compute/disks/read |
はい。 |
はい。 |
はい。 |
Microsoft.Compute/disks/write |
はい。 |
はい。 |
いいえ |
|
Microsoft.Compute/disks/delete |
はい。 |
はい。 |
はい。 |
|
Microsoft. Storage/checknameavailability/read |
はい。 |
はい。 |
いいえ |
|
Microsoft。ストレージ/運用/読み取り |
はい。 |
はい。 |
いいえ |
|
microsoft.Storage/storageAccounts/listkeys/action |
はい。 |
はい。 |
いいえ |
|
microsoft.Storage/storageAccounts/read |
はい。 |
はい。 |
いいえ |
|
microsoft.Storage/storageAccounts/delete |
いいえ |
はい。 |
はい。 |
|
microsoft.Storage/storageAccounts/write |
はい。 |
はい。 |
いいえ |
|
Microsoft. Storage/uses/read:ストレージ/使用状況/読み取り |
いいえ |
はい。 |
いいえ |
|
ストレージアカウントのBLOBストレージへのバックアップと暗号化を有効にします |
microsoft.Storage/storageAccounts/blobServices/container/read |
はい。 |
はい。 |
いいえ |
microsoft.KeyVault/vaults/read |
はい。 |
はい。 |
いいえ |
|
Microsoft。KeyVault/vaults/accessPolicies/write |
はい。 |
はい。 |
いいえ |
|
データ階層化のためのVNetサービスエンドポイントを有効にします |
Microsoft.Network/virtualNetworks/subnets/write |
はい。 |
はい。 |
いいえ |
Microsoft.Network/routeTables/join/action |
はい。 |
はい。 |
いいえ |
|
Azureで管理されるSnapshotを作成および管理します |
Microsoft.Compute/snapshots/write |
はい。 |
はい。 |
いいえ |
Microsoft.Compute/snapshots/read |
はい。 |
はい。 |
いいえ |
|
Microsoft.Compute/snapshots/delete |
いいえ |
はい。 |
はい。 |
|
Microsoft.Compute/disks/beginGetAccess/action |
いいえ |
はい。 |
いいえ |
|
アベイラビリティセットを作成および管理します |
Microsoft.Compute/availabilitySets/write |
はい。 |
いいえ |
いいえ |
Microsoft.Compute/availabilitySets/read |
はい。 |
いいえ |
いいえ |
|
市場からのプログラムによる導入を可能にします |
"Microsoft.MarketplaceOrdering/offerTypes/publisher/offers/plans/agrees/read |
はい。 |
いいえ |
いいえ |
"Microsoft.MarketplaceOrdering/offerTypes/publisher/offers/plans/agrees/write |
はい。 |
はい。 |
いいえ |
|
HAペアのロードバランサを管理します |
Microsoft.Network/loadBalancers/read |
はい。 |
はい。 |
いいえ |
Microsoft.Network/loadBalancers/write |
はい。 |
いいえ |
いいえ |
|
Microsoft.Network/loadBalancers/delete |
いいえ |
はい。 |
はい。 |
|
Microsoft.Network/loadBalancers/backendAddressPools/read |
はい。 |
いいえ |
いいえ |
|
Microsoft.Network/loadBalancers/backendAddressPools/join/action |
はい。 |
いいえ |
いいえ |
|
Microsoft.Network/loadBalancers/frontendIPConfigurations/read |
はい。 |
はい。 |
いいえ |
|
Microsoft.Network/loadBalancers/loadBalancingRules/read |
はい。 |
いいえ |
いいえ |
|
Microsoft.Network/loadBalancers/probes/read |
はい。 |
いいえ |
いいえ |
|
Microsoft.Network/loadBalancers/probes/join/action |
はい。 |
いいえ |
いいえ |
|
Azureディスク上のロックの管理を有効にします |
Microsoft 。許可/ロック/ |
はい。 |
はい。 |
いいえ |
サブネット外に接続がない場合は、HAペアのプライベートエンドポイントを有効にします |
Microsoft.Network/privateEndpoints/write |
はい。 |
はい。 |
いいえ |
microsoft.Storage/storageAccounts/PrivateEndpointConnectionsApproval / action |
はい。 |
いいえ |
いいえ |
|
microsoft.Storage/storageAccounts/privateEndpointConnections/ read |
はい。 |
はい。 |
はい。 |
|
Microsoft.Network/privateEndpoints/read |
はい。 |
はい。 |
はい。 |
|
Microsoft.Network/privateDnsZones/write |
はい。 |
はい。 |
いいえ |
|
Microsoft.Network/privateDnsZones/virtualNetworkLinks/write |
はい。 |
はい。 |
いいえ |
|
Microsoft.Network/virtualNetworks/join/action |
はい。 |
はい。 |
いいえ |
|
Microsoft.Network/privateDnsZones/A/write |
はい。 |
はい。 |
いいえ |
|
Microsoft.Network/privateDnsZones/read |
はい。 |
はい。 |
いいえ |
|
Microsoft.Network/privateDnsZones/virtualNetworkLinks/read |
はい。 |
はい。 |
いいえ |
|
基盤となる物理ハードウェアに応じて、一部のVM環境で必要です |
microsoft.Resources/Deployments/operationStatuses /read |
はい。 |
はい。 |
いいえ |
導入に失敗した場合やリソースを削除した場合は、リソースグループからリソースを削除します |
Microsoft.Network/privateEndpoints/delete |
はい。 |
はい。 |
いいえ |
Microsoft.Compute/availabilitySets/delete |
はい。 |
はい。 |
いいえ |
|
APIを使用する際に、お客様が管理する暗号化キーの使用を有効にします |
Microsoft.Compute/diskEncryptionSets/read |
はい。 |
はい。 |
はい。 |
Microsoft.Compute/diskEncryptionSets/write |
はい。 |
はい。 |
いいえ |
|
microsoft.KeyVault/vaults/deploy/action |
はい。 |
いいえ |
いいえ |
|
Microsoft.Compute/diskEncryptionSets/delete |
はい。 |
はい。 |
はい。 |
|
HAペアのアプリケーションセキュリティグループを設定して、HAインターコネクトのNICとクラスタネットワークのNICを分離します |
Microsoft.Network/applicationSecurityGroups/write |
いいえ |
はい。 |
いいえ |
Microsoft.Network/applicationSecurityGroups/read |
いいえ |
はい。 |
いいえ |
|
Microsoft.Network/applicationSecurityGroups/joinIpConfiguration/action |
いいえ |
はい。 |
いいえ |
|
Microsoft.Network/networkSecurityGroups/securityRules/write |
はい。 |
はい。 |
いいえ |
|
Microsoft.Network/applicationSecurityGroups/delete |
いいえ |
はい。 |
はい。 |
|
Microsoft.Network/networkSecurityGroups/securityRules/delete |
いいえ |
はい。 |
はい。 |
|
Cloud Volumes ONTAP リソースに関連付けられたタグの読み取り、書き込み、および削除 |
microsoft.Resources/tags/read |
いいえ |
はい。 |
いいえ |
microsoft.Resources/tags/write |
はい。 |
はい。 |
いいえ |
|
microsoft.Resources/tags/delete |
はい。 |
いいえ |
いいえ |
|
作成時にストレージアカウントを暗号化 |
microsoft.ManagedIdentity/userAssignedIdentities/assign/action |
はい。 |
はい。 |
いいえ |
Cloud Volumes ONTAPの特定のゾーンを指定するために、フレキシブルオーケストレーションモードで仮想マシンスケールセットを使用する |
マイクロソフト。 |
はい。 |
いいえ |
いいえ |
マイクロソフト。 |
はい。 |
いいえ |
いいえ |
|
マイクロソフト。 |
いいえ |
いいえ |
はい。 |
階層化
BlueXP階層化のセットアップ時に、コネクタは次のAPI要求を行います。
-
microsoft.Storage/storageAccounts/listkeys/action
-
microsoft.Resources/Subscriptions /resourceGroups/read
-
microsoft.Resources/Subscriptions /locations /read
このコネクタは、次のAPI要求を日々の処理に送信します。
-
microsoft.Storage/storageAccounts/blobServices/container/read
-
Microsoft。Storage/storageAccounts/managementPolicies/read
-
microsoft.StorageAccounts/managementPolicies/write
-
microsoft.Storage/storageAccounts/read
変更ログ
権限が追加および削除されると、以下のセクションにそれらの権限が表示されます。
2024年9月9日
BlueXP ではKubernetesクラスタの検出と管理がサポートされなくなったため、次の権限がJSONポリシーから削除されました。
-
Microsoft .ContainerService/managedClusters/listClusterUserCredential/action
-
Microsoft .ContainerService/managedClusters/read
2024年8月22日
次の権限は、Cloud Volumes ONTAPで仮想マシンスケールセットをサポートするために必要なため、JSONポリシーに追加されました。
-
マイクロソフト。
-
マイクロソフト。
-
マイクロソフト。
2023年12月5日
Azure BLOBストレージにボリュームデータをバックアップする場合、BlueXPのバックアップとリカバリに次の権限は不要になりました。
-
Microsoft.Compute/virtualMachines/read
-
Microsoft.Compute/virtualMachines/start/action
-
Microsoft.Compute/virtualMachines/deallocate/action
-
Microsoft.Compute/virtualMachines/extensions/delete
-
Microsoft.Compute/virtualMachines/delete
これらの権限は他のBlueXPストレージサービスに必要なため、他のストレージサービスを使用している場合はコネクタのカスタムロールが引き続き使用されます。
2023年5月12日
次の権限はCloud Volumes ONTAP の管理に必要なため、JSONポリシーに追加されました。
-
Microsoft.Compute/images/write
-
Microsoft.Network/loadBalancers/frontendIPConfigurations/read
JSONポリシーから次の権限が削除されました。これらの権限は不要になりました。
-
microsoft.Storage/storageAccounts/blobServices/container/write
-
Microsoft.Network/publicIPAddresses/delete
2023年3月23日
BlueXPの分類に「Microsoft.Storage/storageAccounts/delete」権限は不要になりました。
この権限はCloud Volumes ONTAP では引き続き必要です。
2023年1月5日
JSONポリシーに次の権限が追加されました。
-
microsoft.Storage/storageAccountSas/action
-
Microsoft .Synapse/workspaces /privateEndpointConnectionsApproval / action
これらの権限はBlueXPのバックアップとリカバリに必要です。
-
Microsoft.Network/loadBalancers/backendAddressPools/join/action
この権限はCloud Volumes ONTAP の導入に必要です。
