日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

コンソールエージェントのAzure権限

11/19/2025 共同作成者

NetApp ConsoleがAzure でコンソールエージェントを起動すると、その Azure サブスクリプション内のリソースとプロセスを管理するための権限をエージェントに提供するカスタムロールが VM にアタッチされます。エージェントは、アクセス許可を使用して、複数の Azure サービスへの API 呼び出しを実行します。

エージェントに対してこのカスタムロールを作成する必要があるかどうかは、エージェントをどのように展開したかによって異なります。

NetApp Consoleからの導入

コンソールを使用してAzureにエージェント仮想マシンを展開すると、 "システム割り当てマネージドID"仮想マシン上でカスタムロールを作成し、それを仮想マシンに割り当てます。このロールは、その Azure サブスクリプション内のリソースとプロセスを管理するために必要な権限をコンソールに提供します。エージェントがアップグレードされると、ロールの権限は最新の状態に保たれます。エージェントに対してこのロールを作成したり、更新を管理したりする必要はありません。

手動でのデプロイまたはAzure Marketplaceからのデプロイ

Azure Marketplace からエージェントをデプロイする場合、または Linux ホストにエージェントを手動でインストールする場合は、カスタムロールを自分で設定し、変更を加えてそのアクセス許可を維持する必要があります。

以降のリリースで新しい権限が追加されるので、ロールが最新であることを確認する必要があります。新しい権限が必要な場合は、リリースノートに記載されます。

これらのポリシーの使用方法の詳細な手順については、次のページを参照してください。

以下は、可能な限り少ない権限と可能な限り狭い範囲を使用するバックアップとリカバリのカスタムポリシーです。

{
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/{roleDefinitionGuid}",
  "properties": {
    "roleName": "Custom Role",
    "description": "Minimal permissions required for Backup and Recovery.",
    "assignableScopes": [
      "/subscriptions/{subscriptionId}",
      "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupNameContainingConnectorAndStorageAccount}",
      "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupNameContainingConnectorAndStorageAccount}/providers/Microsoft.Storage/storageAccounts/{storageAccountNameWithObjectLockPreprovisioned}"
    ],
    "permissions": [
      {
        "actions": [
          "Microsoft.Storage/storageAccounts/listkeys/action",
          "Microsoft.Storage/storageAccounts/read",
          "Microsoft.Storage/storageAccounts/write",
          "Microsoft.Storage/storageAccounts/blobServices/containers/read",
          "Microsoft.Storage/storageAccounts/listAccountSas/action",
          "Microsoft.Resources/subscriptions/locations/read",
          "Microsoft.Resources/subscriptions/resourcegroups/resources/read",
          "Microsoft.Resources/subscriptions/resourceGroups/write",
          "Microsoft.Resources/subscriptions/resourceGroups/read",
          "Microsoft.Storage/storageAccounts/managementPolicies/read",
          "Microsoft.Storage/storageAccounts/managementPolicies/write",
          "Microsoft.Authorization/locks/write",
          "Microsoft.Authorization/locks/read"
        ],
        "notActions": [],
        "dataActions": [],
        "notDataActions": []
      }
    ]
  }
}

Azure の権限の使用方法

次のセクションでは、各NetAppストレージシステムおよびデータサービスに対する権限の使用方法について説明します。この情報は、必要な場合にのみ権限を付与するように企業ポリシーで定められている場合に役立ちます。

Azure NetApp Files

NetApp Data Classification を使用してAzure NetApp Filesデータをスキャンすると、エージェントは次の API 要求を行います。

Microsoft. NetApp/netAppAccounts/read
Microsoft. NetApp/netAppAccounts/capacityPools/read
Microsoft. NetApp/netAppAccounts/capacityPools/volumes/write
Microsoft. NetApp/netAppAccounts/capacityPools/volumes/read
Microsoft. NetApp/netAppAccounts/capacityPools/volumes/delete

最小限のNetApp Backup and Recovery権限

コンソールエージェントは、基本的なNetApp Backup and Recovery機能に対して次の API 要求を行います。

Microsoft.Storage/storageAccounts/listkeys/アクション
Microsoft.Storage/storageAccounts/読み取り
Microsoft.Storage/ストレージアカウント/書き込み
Microsoft.Storage/storageAccounts/blobServices/containers/読み取り
Microsoft.Storage/storageAccounts/listAccountSas/アクション
Microsoft.Resources/サブスクリプション/場所/読み取り
Microsoft.Resources/サブスクリプション/リソースグループ/読み取り
Microsoft.Resources/サブスクリプション/リソースグループ/リソース/読み取り
Microsoft.Resources/サブスクリプション/リソースグループ/書き込み
Microsoft.Storage/storageAccounts/managementPolicies/読み取り
Microsoft.Storage/storageAccounts/managementPolicies/書き込み
Microsoft.Authorization/ロック/書き込み
Microsoft.Authorization/ロック/読み取り

追加のバックアップとリカバリの権限

コンソールエージェントは、高度なバックアップとリカバリ操作および検索と復元機能に対して次の API 要求を行います。これらのアクセス許可により、ネットワーク、キーコンテナー、マネージド ID の管理が可能になります。

Microsoft.KeyVault/vaults/accessPolicies/書き込み
Microsoft.KeyVault/vaults/読み取り
Microsoft.ManagedIdentity/userAssignedIdentities/割り当て/アクション
Microsoft.Network/ネットワークインターフェイス/削除
Microsoft.Network/ネットワークインターフェイス/読み取り
Microsoft.Network/ネットワークセキュリティグループ/削除
Microsoft.Network/privateDnsZones/読み取り
Microsoft.Network/privateDnsZones/書き込み
Microsoft.Network/privateEndpoints/読み取り
Microsoft.Network/privateEndpoints/書き込み
Microsoft.Network/仮想ネットワーク/参加/アクション
Microsoft.Resources/デプロイメント/削除

バックアップとリカバリの従来の権限

検索と復元機能を使用するとき、エージェントは次の API 要求を行います。インデックス v2 のリリース前に従来のインデックス機能を有効にした場合にのみ、これらの権限が必要です。

Microsoft.Synapse/ワークスペース/書き込み
Microsoft.Synapse/ワークスペース/読み取り
Microsoft.Synapse/ワークスペース/削除
Microsoft.Synapse/登録/アクション
Microsoft.Synapse/checkNameAvailability/アクション
Microsoft.Synapse/ワークスペース/操作ステータス/読み取り
Microsoft.Synapse/ワークスペース/ファイアウォールルール/読み取り
Microsoft.Synapse/ワークスペース/replaceAllIpFirewallRules/アクション
Microsoft.Synapse/ワークスペース/操作結果/読み取り
Microsoft.Synapse/ワークスペース/プライベートエンドポイント接続承認/アクション

NetApp Data Classification

データ分類を使用する場合、エージェントは次の API リクエストを行います。

アクション	セットアップに使用しますか?	日常業務に使用されますか?
Microsoft.Compute/場所/操作/読み取り	はい	はい
Microsoft.Compute/場所/vmSizes/読み取り	はい	はい
Microsoft.Compute/操作/読み取り	はい	はい
Microsoft.Compute/virtualMachines/instanceView/読み取り	はい	はい
Microsoft.Compute/virtualMachines/powerOff/アクション	はい	いいえ
Microsoft.Compute/仮想マシン/読み取り	はい	はい
Microsoft.Compute/virtualMachines/再起動/アクション	はい	いいえ
Microsoft.Compute/virtualMachines/start/action	はい	いいえ
Microsoft.Compute/virtualMachines/vmSizes/読み取り	いいえ	はい
Microsoft.Compute/仮想マシン/書き込み	はい	いいえ
Microsoft.Compute/images/読み取り	はい	はい
Microsoft.Compute/ディスク/削除	はい	いいえ
Microsoft.Compute/ディスク/読み取り	はい	はい
Microsoft.Compute/ディスク/書き込み	はい	いいえ
Microsoft.Storage/checknameavailability/読み取り	はい	はい
Microsoft.Storage/操作/読み取り	はい	はい
Microsoft.Storage/storageAccounts/listkeys/アクション	はい	いいえ
Microsoft.Storage/storageAccounts/読み取り	はい	はい
Microsoft.Storage/ストレージアカウント/書き込み	はい	いいえ
Microsoft.Storage/storageAccounts/blobServices/containers/読み取り	はい	はい
Microsoft.Network/ネットワークインターフェイス/読み取り	はい	はい
Microsoft.Network/ネットワークインターフェイス/書き込み	はい	いいえ
Microsoft.Network/ネットワークインターフェイス/参加/アクション	はい	いいえ
Microsoft.Network/ネットワークセキュリティグループ/読み取り	はい	はい
Microsoft.Network/ネットワークセキュリティグループ/書き込み	はい	いいえ
Microsoft.Resources/サブスクリプション/場所/読み取り	はい	はい
Microsoft.Network/場所/操作結果/読み取り	はい	はい
Microsoft.Network/場所/操作/読み取り	はい	はい
Microsoft.Network/仮想ネットワーク/読み取り	はい	はい
Microsoft.Network/virtualNetworks/checkIpAddressAvailability/読み取り	はい	はい
Microsoft.Network/virtualNetworks/サブネット/読み取り	はい	はい
Microsoft.Network/virtualNetworks/サブネット/virtualMachines/読み取り	はい	はい
Microsoft.Network/virtualNetworks/virtualMachines/読み取り	はい	はい
Microsoft.Network/virtualNetworks/サブネット/参加/アクション	はい	いいえ
Microsoft.Network/virtualNetworks/サブネット/書き込み	はい	いいえ
Microsoft.Network/routeTables/join/アクション	はい	いいえ
Microsoft.Resources/デプロイメント/運用/読み取り	はい	はい
Microsoft.Resources/デプロイメント/読み取り	はい	はい
Microsoft.Resources/デプロイメント/書き込み	はい	いいえ
Microsoft.Resources/リソース/読み取り	はい	はい
Microsoft.Resources/サブスクリプション/操作結果/読み取り	はい	はい
Microsoft.Resources/サブスクリプション/リソースグループ/削除	はい	いいえ
Microsoft.Resources/サブスクリプション/リソースグループ/読み取り	はい	はい
Microsoft.Resources/サブスクリプション/リソースグループ/リソース/読み取り	はい	はい
Microsoft.Resources/サブスクリプション/リソースグループ/書き込み	はい	いいえ

アクション

セットアップに使用しますか?

日常業務に使用されますか?

Microsoft.Compute/場所/操作/読み取り

はい

Microsoft.Compute/場所/vmSizes/読み取り

はい

Microsoft.Compute/操作/読み取り

はい

Microsoft.Compute/virtualMachines/instanceView/読み取り

はい

Microsoft.Compute/virtualMachines/powerOff/アクション

はい

いいえ

Microsoft.Compute/仮想マシン/読み取り

はい

Microsoft.Compute/virtualMachines/再起動/アクション

はい

いいえ

Microsoft.Compute/virtualMachines/start/action

はい

いいえ

Microsoft.Compute/virtualMachines/vmSizes/読み取り

いいえ

はい

Microsoft.Compute/仮想マシン/書き込み

はい

いいえ

Microsoft.Compute/images/読み取り

はい

Microsoft.Compute/ディスク/削除

はい

いいえ

Microsoft.Compute/ディスク/読み取り

はい

Microsoft.Compute/ディスク/書き込み

はい

いいえ

Microsoft.Storage/checknameavailability/読み取り

はい

Microsoft.Storage/操作/読み取り

はい

Microsoft.Storage/storageAccounts/listkeys/アクション

はい

いいえ

Microsoft.Storage/storageAccounts/読み取り

はい

Microsoft.Storage/ストレージアカウント/書き込み

はい

いいえ

Microsoft.Storage/storageAccounts/blobServices/containers/読み取り

はい

Microsoft.Network/ネットワークインターフェイス/読み取り

はい

Microsoft.Network/ネットワークインターフェイス/書き込み

はい

いいえ

Microsoft.Network/ネットワークインターフェイス/参加/アクション

はい

いいえ

Microsoft.Network/ネットワークセキュリティグループ/読み取り

はい

Microsoft.Network/ネットワークセキュリティグループ/書き込み

はい

いいえ

Microsoft.Resources/サブスクリプション/場所/読み取り

はい

Microsoft.Network/場所/操作結果/読み取り

はい

Microsoft.Network/場所/操作/読み取り

はい

Microsoft.Network/仮想ネットワーク/読み取り

はい

Microsoft.Network/virtualNetworks/checkIpAddressAvailability/読み取り

はい

Microsoft.Network/virtualNetworks/サブネット/読み取り

はい

Microsoft.Network/virtualNetworks/サブネット/virtualMachines/読み取り

はい

Microsoft.Network/virtualNetworks/virtualMachines/読み取り

はい

Microsoft.Network/virtualNetworks/サブネット/参加/アクション

はい

いいえ

Microsoft.Network/virtualNetworks/サブネット/書き込み

はい

いいえ

Microsoft.Network/routeTables/join/アクション

はい

いいえ

Microsoft.Resources/デプロイメント/運用/読み取り

はい

Microsoft.Resources/デプロイメント/読み取り

はい

Microsoft.Resources/デプロイメント/書き込み

はい

いいえ

Microsoft.Resources/リソース/読み取り

はい

Microsoft.Resources/サブスクリプション/操作結果/読み取り

はい

Microsoft.Resources/サブスクリプション/リソースグループ/削除

はい

いいえ

Microsoft.Resources/サブスクリプション/リソースグループ/読み取り

はい

Microsoft.Resources/サブスクリプション/リソースグループ/リソース/読み取り

はい

Microsoft.Resources/サブスクリプション/リソースグループ/書き込み

はい

いいえ

Cloud Volumes ONTAP

エージェントは、Azure でCloud Volumes ONTAP をデプロイおよび管理するために、次の API 要求を行います。

目的	アクション	展開に使用されますか?	日常業務に使用されますか?	削除に使用されますか?
VMの作成と管理	Microsoft.Compute/場所/操作/読み取り	はい	はい	いいえ
Microsoft.Compute/場所/vmSizes/読み取り	はい	はい	いいえ
Microsoft.Resources/サブスクリプション/場所/読み取り	はい	いいえ	いいえ
Microsoft.Compute/操作/読み取り	はい	はい	いいえ
Microsoft.Compute/virtualMachines/instanceView/読み取り	はい	はい	いいえ
Microsoft.Compute/virtualMachines/powerOff/アクション	はい	はい	いいえ
Microsoft.Compute/仮想マシン/読み取り	はい	はい	いいえ
Microsoft.Compute/virtualMachines/再起動/アクション	はい	はい	いいえ
Microsoft.Compute/virtualMachines/start/action	はい	はい	いいえ
Microsoft.Compute/virtualMachines/割り当て解除/アクション	いいえ	はい	はい
Microsoft.Compute/virtualMachines/vmSizes/読み取り	いいえ	はい	いいえ
Microsoft.Compute/仮想マシン/書き込み	はい	はい	いいえ
Microsoft.Compute/仮想マシン/削除	はい	はい	はい
Microsoft.Resources/デプロイメント/削除	はい	いいえ	いいえ
VHDからの展開を有効にする	Microsoft.Compute/images/読み取り	はい	いいえ	いいえ
Microsoft.Compute/images/書き込み	はい	いいえ	いいえ
ターゲットサブネット内のネットワークインターフェースの作成と管理	Microsoft.Network/ネットワークインターフェイス/読み取り	はい	はい	いいえ
Microsoft.Network/ネットワークインターフェイス/書き込み	はい	はい	いいえ
Microsoft.Network/ネットワークインターフェイス/参加/アクション	はい	はい	いいえ
Microsoft.Network/ネットワークインターフェイス/削除	はい	はい	いいえ
ネットワークセキュリティグループの作成と管理	Microsoft.Network/ネットワークセキュリティグループ/読み取り	はい	はい	いいえ
Microsoft.Network/ネットワークセキュリティグループ/書き込み	はい	はい	いいえ
Microsoft.Network/ネットワークセキュリティグループ/参加/アクション	はい	いいえ	いいえ
Microsoft.Network/ネットワークセキュリティグループ/削除	いいえ	はい	はい
リージョン、ターゲット VNet、サブネットに関するネットワーク情報を取得し、VM を VNet に追加します。	Microsoft.Network/場所/操作結果/読み取り	はい	はい	いいえ
Microsoft.Network/場所/操作/読み取り	はい	はい	いいえ
Microsoft.Network/仮想ネットワーク/読み取り	はい	いいえ	いいえ
Microsoft.Network/virtualNetworks/checkIpAddressAvailability/読み取り	はい	いいえ	いいえ
Microsoft.Network/virtualNetworks/サブネット/読み取り	はい	はい	いいえ
Microsoft.Network/virtualNetworks/サブネット/virtualMachines/読み取り	はい	はい	いいえ
Microsoft.Network/virtualNetworks/virtualMachines/読み取り	はい	はい	いいえ
Microsoft.Network/virtualNetworks/サブネット/参加/アクション	はい	はい	いいえ
リソースグループの作成と管理	Microsoft.Resources/デプロイメント/運用/読み取り	はい	はい	いいえ
Microsoft.Resources/デプロイメント/読み取り	はい	はい	いいえ
Microsoft.Resources/デプロイメント/書き込み	はい	はい	いいえ
Microsoft.Resources/リソース/読み取り	はい	はい	いいえ
Microsoft.Resources/サブスクリプション/操作結果/読み取り	はい	はい	いいえ
Microsoft.Resources/サブスクリプション/リソースグループ/削除	はい	はい	はい
Microsoft.Resources/サブスクリプション/リソースグループ/読み取り	いいえ	はい	いいえ
Microsoft.Resources/サブスクリプション/リソースグループ/リソース/読み取り	はい	はい	いいえ
Microsoft.Resources/サブスクリプション/リソースグループ/書き込み	はい	はい	いいえ
Azure ストレージアカウントとディスクを管理する	Microsoft.Compute/ディスク/読み取り	はい	はい	はい
Microsoft.Compute/ディスク/書き込み	はい	はい	いいえ
Microsoft.Compute/ディスク/削除	はい	はい	はい
Microsoft.Storage/checknameavailability/読み取り	はい	はい	いいえ
Microsoft.Storage/操作/読み取り	はい	はい	いいえ
Microsoft.Storage/storageAccounts/listkeys/アクション	はい	はい	いいえ
Microsoft.Storage/storageAccounts/読み取り	はい	はい	いいえ
Microsoft.Storage/storageAccounts/削除	いいえ	はい	はい
Microsoft.Storage/ストレージアカウント/書き込み	はい	はい	いいえ
Microsoft.Storage/使用状況/読み取り	いいえ	はい	いいえ
BLOB ストレージへのバックアップとストレージアカウントの暗号化を有効にする	Microsoft.Storage/storageAccounts/blobServices/containers/読み取り	はい	はい	いいえ
Microsoft.KeyVault/vaults/読み取り	はい	はい	いいえ
Microsoft.KeyVault/vaults/accessPolicies/書き込み	はい	はい	いいえ
データ階層化のために VNet サービスエンドポイントを有効にする	Microsoft.Network/virtualNetworks/サブネット/書き込み	はい	はい	いいえ
Microsoft.Network/routeTables/join/アクション	はい	はい	いいえ
Azure 管理スナップショットの作成と管理	Microsoft.Compute/スナップショット/書き込み	はい	はい	いいえ
Microsoft.Compute/スナップショット/読み取り	はい	はい	いいえ
Microsoft.Compute/スナップショット/削除	いいえ	はい	はい
Microsoft.Compute/ディスク/beginGetAccess/アクション	いいえ	はい	いいえ
可用性セットの作成と管理	Microsoft.Compute/availabilitySets/書き込み	はい	いいえ	いいえ
Microsoft.Compute/availabilitySets/読み取り	はい	いいえ	いいえ
マーケットプレイスからのプログラムによる展開を可能にする	Microsoft.MarketplaceOrdering/オファータイプ/発行者/オファー/プラン/契約/読み取り	はい	いいえ	いいえ
Microsoft.MarketplaceOrdering/オファータイプ/パブリッシャー/オファー/プラン/契約/書き込み	はい	はい	いいえ
HAペアのロードバランサを管理する	Microsoft.Network/ロードバランサー/読み取り	はい	はい	いいえ
Microsoft.Network/ロードバランサー/書き込み	はい	いいえ	いいえ
Microsoft.Network/loadBalancers/削除	いいえ	はい	はい
Microsoft.Network/loadBalancers/backendAddressPools/読み取り	はい	いいえ	いいえ
Microsoft.Network/loadBalancers/backendAddressPools/参加/アクション	はい	いいえ	いいえ
Microsoft.Network/loadBalancers/frontendIPConfigurations/読み取り	はい	はい	いいえ
Microsoft.Network/loadBalancers/loadBalancingRules/読み取り	はい	いいえ	いいえ
Microsoft.Network/loadBalancers/プローブ/読み取り	はい	いいえ	いいえ
Microsoft.Network/loadBalancers/プローブ/参加/アクション	はい	いいえ	いいえ
Azure ディスクのロックの管理を有効にする	Microsoft.Authorization/locks/*	はい	はい	いいえ
サブネット外に接続できない場合にHAペアのプライベートエンドポイントを有効にする	Microsoft.Network/privateEndpoints/書き込み	はい	はい	いいえ
Microsoft.Storage/storageAccounts/PrivateEndpointConnectionsApproval/アクション	はい	いいえ	いいえ
Microsoft.Storage/storageAccounts/privateEndpointConnections/読み取り	はい	はい	はい
Microsoft.Network/privateEndpoints/読み取り	はい	はい	はい
Microsoft.Network/privateDnsZones/書き込み	はい	はい	いいえ
Microsoft.Network/privateDnsZones/virtualNetworkLinks/書き込み	はい	はい	いいえ
Microsoft.Network/仮想ネットワーク/参加/アクション	はい	はい	いいえ
Microsoft.Network/privateDnsZones/A/書き込み	はい	はい	いいえ
Microsoft.Network/privateDnsZones/読み取り	はい	はい	いいえ
Microsoft.Network/privateDnsZones/virtualNetworkLinks/読み取り	はい	はい	いいえ
基盤となる物理ハードウェアに応じて、一部の VM 展開に必要	Microsoft.Resources/デプロイメント/操作ステータス/読み取り	はい	はい	いいえ
デプロイメントの失敗または削除の場合にリソースグループからリソースを削除する	Microsoft.Network/privateEndpoints/削除	はい	はい	いいえ
Microsoft.Compute/availabilitySets/削除	はい	はい	いいえ
API を使用する際に顧客管理の暗号化キーの使用を有効にする	Microsoft.Compute/diskEncryptionSets/読み取り	はい	はい	はい
Microsoft.Compute/diskEncryptionSets/書き込み	はい	はい	いいえ
Microsoft.KeyVault/vaults/deploy/action	はい	いいえ	いいえ
Microsoft.Compute/diskEncryptionSets/削除	はい	はい	はい
HA ペアのアプリケーションセキュリティグループを構成して、HA インターコネクトとクラスタネットワーク NIC を分離します。	Microsoft.Network/アプリケーションセキュリティグループ/書き込み	いいえ	はい	いいえ
Microsoft.Network/applicationSecurityGroups/読み取り	いいえ	はい	いいえ
Microsoft.Network/applicationSecurityGroups/joinIpConfiguration/アクション	いいえ	はい	いいえ
Microsoft.Network/ネットワークセキュリティグループ/セキュリティルール/書き込み	はい	はい	いいえ
Microsoft.Network/applicationSecurityGroups/削除	いいえ	はい	はい
Microsoft.Network/ネットワークセキュリティグループ/セキュリティルール/削除	いいえ	はい	はい
Cloud Volumes ONTAPリソースに関連付けられたタグの読み取り、書き込み、削除	Microsoft.Resources/タグ/読み取り	いいえ	はい	いいえ
Microsoft.Resources/タグ/書き込み	はい	はい	いいえ
Microsoft.Resources/タグ/削除	はい	いいえ	いいえ
作成時にストレージアカウントを暗号化する	Microsoft.ManagedIdentity/userAssignedIdentities/割り当て/アクション	はい	はい	いいえ
Cloud Volumes ONTAPの特定のゾーンを指定するには、柔軟なオーケストレーションモードで仮想マシンスケールセットを使用します。	Microsoft.Compute/仮想マシンスケールセット/書き込み	はい	いいえ	いいえ
Microsoft.Compute/仮想マシンスケールセット/読み取り	はい	いいえ	いいえ
Microsoft.Compute/virtualMachineScaleSets/削除	いいえ	いいえ	はい

目的

アクション

展開に使用されますか?

日常業務に使用されますか?

削除に使用されますか?

VMの作成と管理

Microsoft.Compute/場所/操作/読み取り

はい

いいえ

Microsoft.Compute/場所/vmSizes/読み取り

はい

いいえ

Microsoft.Resources/サブスクリプション/場所/読み取り

はい

いいえ

Microsoft.Compute/操作/読み取り

はい

いいえ

Microsoft.Compute/virtualMachines/instanceView/読み取り

はい

いいえ

Microsoft.Compute/virtualMachines/powerOff/アクション

はい

いいえ

Microsoft.Compute/仮想マシン/読み取り

はい

いいえ

Microsoft.Compute/virtualMachines/再起動/アクション

はい

いいえ

Microsoft.Compute/virtualMachines/start/action

はい

いいえ

Microsoft.Compute/virtualMachines/割り当て解除/アクション

いいえ

はい

Microsoft.Compute/virtualMachines/vmSizes/読み取り

いいえ

はい

いいえ

Microsoft.Compute/仮想マシン/書き込み

はい

いいえ

Microsoft.Compute/仮想マシン/削除

はい

Microsoft.Resources/デプロイメント/削除

はい

いいえ

VHDからの展開を有効にする

Microsoft.Compute/images/読み取り

はい

いいえ

Microsoft.Compute/images/書き込み

はい

いいえ

ターゲットサブネット内のネットワークインターフェースの作成と管理

Microsoft.Network/ネットワークインターフェイス/読み取り

はい

いいえ

Microsoft.Network/ネットワークインターフェイス/書き込み

はい

いいえ

Microsoft.Network/ネットワークインターフェイス/参加/アクション

はい

いいえ

Microsoft.Network/ネットワークインターフェイス/削除

はい

いいえ

ネットワークセキュリティグループの作成と管理

Microsoft.Network/ネットワークセキュリティグループ/読み取り

はい

いいえ

Microsoft.Network/ネットワークセキュリティグループ/書き込み

はい

いいえ

Microsoft.Network/ネットワークセキュリティグループ/参加/アクション

はい

いいえ

Microsoft.Network/ネットワークセキュリティグループ/削除

いいえ

はい

リージョン、ターゲット VNet、サブネットに関するネットワーク情報を取得し、VM を VNet に追加します。

Microsoft.Network/場所/操作結果/読み取り

はい

いいえ

Microsoft.Network/場所/操作/読み取り

はい

いいえ

Microsoft.Network/仮想ネットワーク/読み取り

はい

いいえ

Microsoft.Network/virtualNetworks/checkIpAddressAvailability/読み取り

はい

いいえ

Microsoft.Network/virtualNetworks/サブネット/読み取り

はい

いいえ

Microsoft.Network/virtualNetworks/サブネット/virtualMachines/読み取り

はい

いいえ

Microsoft.Network/virtualNetworks/virtualMachines/読み取り

はい

いいえ

Microsoft.Network/virtualNetworks/サブネット/参加/アクション

はい

いいえ

リソースグループの作成と管理

Microsoft.Resources/デプロイメント/運用/読み取り

はい

いいえ

Microsoft.Resources/デプロイメント/読み取り

はい

いいえ

Microsoft.Resources/デプロイメント/書き込み

はい

いいえ

Microsoft.Resources/リソース/読み取り

はい

いいえ

Microsoft.Resources/サブスクリプション/操作結果/読み取り

はい

いいえ

Microsoft.Resources/サブスクリプション/リソースグループ/削除

はい

Microsoft.Resources/サブスクリプション/リソースグループ/読み取り

いいえ

はい

いいえ

Microsoft.Resources/サブスクリプション/リソースグループ/リソース/読み取り

はい

いいえ

Microsoft.Resources/サブスクリプション/リソースグループ/書き込み

はい

いいえ

Azure ストレージアカウントとディスクを管理する

Microsoft.Compute/ディスク/読み取り

はい

Microsoft.Compute/ディスク/書き込み

はい

いいえ

Microsoft.Compute/ディスク/削除

はい

Microsoft.Storage/checknameavailability/読み取り

はい

いいえ

Microsoft.Storage/操作/読み取り

はい

いいえ

Microsoft.Storage/storageAccounts/listkeys/アクション

はい

いいえ

Microsoft.Storage/storageAccounts/読み取り

はい

いいえ

Microsoft.Storage/storageAccounts/削除

いいえ

はい

Microsoft.Storage/ストレージアカウント/書き込み

はい

いいえ

Microsoft.Storage/使用状況/読み取り

いいえ

はい

いいえ

BLOB ストレージへのバックアップとストレージアカウントの暗号化を有効にする

Microsoft.Storage/storageAccounts/blobServices/containers/読み取り

はい

いいえ

Microsoft.KeyVault/vaults/読み取り

はい

いいえ

Microsoft.KeyVault/vaults/accessPolicies/書き込み

はい

いいえ

データ階層化のために VNet サービスエンドポイントを有効にする

Microsoft.Network/virtualNetworks/サブネット/書き込み

はい

いいえ

Microsoft.Network/routeTables/join/アクション

はい

いいえ

Azure 管理スナップショットの作成と管理

Microsoft.Compute/スナップショット/書き込み

はい

いいえ

Microsoft.Compute/スナップショット/読み取り

はい

いいえ

Microsoft.Compute/スナップショット/削除

いいえ

はい

Microsoft.Compute/ディスク/beginGetAccess/アクション

いいえ

はい

いいえ

可用性セットの作成と管理

Microsoft.Compute/availabilitySets/書き込み

はい

いいえ

Microsoft.Compute/availabilitySets/読み取り

はい

いいえ

マーケットプレイスからのプログラムによる展開を可能にする

Microsoft.MarketplaceOrdering/オファータイプ/発行者/オファー/プラン/契約/読み取り

はい

いいえ

Microsoft.MarketplaceOrdering/オファータイプ/パブリッシャー/オファー/プラン/契約/書き込み

はい

いいえ

HAペアのロードバランサを管理する

Microsoft.Network/ロードバランサー/読み取り

はい

いいえ

Microsoft.Network/ロードバランサー/書き込み

はい

いいえ

Microsoft.Network/loadBalancers/削除

いいえ

はい

Microsoft.Network/loadBalancers/backendAddressPools/読み取り

はい

いいえ

Microsoft.Network/loadBalancers/backendAddressPools/参加/アクション

はい

いいえ

Microsoft.Network/loadBalancers/frontendIPConfigurations/読み取り

はい

いいえ

Microsoft.Network/loadBalancers/loadBalancingRules/読み取り

はい

いいえ

Microsoft.Network/loadBalancers/プローブ/読み取り

はい

いいえ

Microsoft.Network/loadBalancers/プローブ/参加/アクション

はい

いいえ

Azure ディスクのロックの管理を有効にする

Microsoft.Authorization/locks/*

はい

いいえ

サブネット外に接続できない場合にHAペアのプライベートエンドポイントを有効にする

Microsoft.Network/privateEndpoints/書き込み

はい

いいえ

Microsoft.Storage/storageAccounts/PrivateEndpointConnectionsApproval/アクション

はい

いいえ

Microsoft.Storage/storageAccounts/privateEndpointConnections/読み取り

はい

Microsoft.Network/privateEndpoints/読み取り

はい

Microsoft.Network/privateDnsZones/書き込み

はい

いいえ

Microsoft.Network/privateDnsZones/virtualNetworkLinks/書き込み

はい

いいえ

Microsoft.Network/仮想ネットワーク/参加/アクション

はい

いいえ

Microsoft.Network/privateDnsZones/A/書き込み

はい

いいえ

Microsoft.Network/privateDnsZones/読み取り

はい

いいえ

Microsoft.Network/privateDnsZones/virtualNetworkLinks/読み取り

はい

いいえ

基盤となる物理ハードウェアに応じて、一部の VM 展開に必要

Microsoft.Resources/デプロイメント/操作ステータス/読み取り

はい

いいえ

デプロイメントの失敗または削除の場合にリソースグループからリソースを削除する

Microsoft.Network/privateEndpoints/削除

はい

いいえ

Microsoft.Compute/availabilitySets/削除

はい

いいえ

API を使用する際に顧客管理の暗号化キーの使用を有効にする

Microsoft.Compute/diskEncryptionSets/読み取り

はい

Microsoft.Compute/diskEncryptionSets/書き込み

はい

いいえ

Microsoft.KeyVault/vaults/deploy/action

はい

いいえ

Microsoft.Compute/diskEncryptionSets/削除

はい

HA ペアのアプリケーションセキュリティグループを構成して、HA インターコネクトとクラスタネットワーク NIC を分離します。

Microsoft.Network/アプリケーションセキュリティグループ/書き込み

いいえ

はい

いいえ

Microsoft.Network/applicationSecurityGroups/読み取り

いいえ

はい

いいえ

Microsoft.Network/applicationSecurityGroups/joinIpConfiguration/アクション

いいえ

はい

いいえ

Microsoft.Network/ネットワークセキュリティグループ/セキュリティルール/書き込み

はい

いいえ

Microsoft.Network/applicationSecurityGroups/削除

いいえ

はい

Microsoft.Network/ネットワークセキュリティグループ/セキュリティルール/削除

いいえ

はい

Cloud Volumes ONTAPリソースに関連付けられたタグの読み取り、書き込み、削除

Microsoft.Resources/タグ/読み取り

いいえ

はい

いいえ

Microsoft.Resources/タグ/書き込み

はい

いいえ

Microsoft.Resources/タグ/削除

はい

いいえ

作成時にストレージアカウントを暗号化する

Microsoft.ManagedIdentity/userAssignedIdentities/割り当て/アクション

はい

いいえ

Cloud Volumes ONTAPの特定のゾーンを指定するには、柔軟なオーケストレーションモードで仮想マシンスケールセットを使用します。

Microsoft.Compute/仮想マシンスケールセット/書き込み

はい

いいえ

Microsoft.Compute/仮想マシンスケールセット/読み取り

はい

いいえ

Microsoft.Compute/virtualMachineScaleSets/削除

いいえ

はい

階層化

NetApp Cloud Tieringをセットアップすると、エージェントは次の API 要求を行います。

Microsoft.Storage/storageAccounts/listkeys/アクション
Microsoft.Resources/サブスクリプション/リソースグループ/読み取り
Microsoft.Resources/サブスクリプション/場所/読み取り

コンソールエージェントは、日常の操作のために次の API 要求を行います。

Microsoft.Storage/storageAccounts/blobServices/containers/読み取り
Microsoft.Storage/storageAccounts/managementPolicies/読み取り
Microsoft.Storage/storageAccounts/managementPolicies/書き込み
Microsoft.Storage/storageAccounts/読み取り

変更ログ

権限が追加または削除されると、以下のセクションでその旨を記録します。

2025年11月11日

JSON ロールの例から次の権限が削除され、例がバックアップとリカバリに必要な最小限の権限を反映できるようになりました。

Details

Microsoft.Compute/ディスク/削除
Microsoft.Compute/ディスク/読み取り
Microsoft.Compute/ディスク/書き込み
Microsoft.Compute/場所/操作/読み取り
Microsoft.Compute/場所/vmSizes/読み取り
Microsoft.Compute/操作/読み取り
Microsoft.Compute/virtualMachines/instanceView/読み取り
Microsoft.Compute/virtualMachines/powerOff/アクション
Microsoft.Compute/仮想マシン/読み取り
Microsoft.Compute/virtualMachines/再起動/アクション
Microsoft.Compute/virtualMachines/割り当て解除/アクション
Microsoft.Compute/virtualMachines/start/action
Microsoft.Compute/virtualMachines/vmSizes/読み取り
Microsoft.Compute/仮想マシン/書き込み
Microsoft.Compute/images/読み取り
Microsoft.Network/場所/操作結果/読み取り
Microsoft.Network/場所/操作/読み取り
Microsoft.Network/ネットワークインターフェイス/読み取り
Microsoft.Network/ネットワークインターフェイス/書き込み
Microsoft.Network/ネットワークインターフェイス/参加/アクション
Microsoft.Network/ネットワークセキュリティグループ/読み取り
Microsoft.Network/ネットワークセキュリティグループ/書き込み
Microsoft.Network/ネットワークセキュリティグループ/参加/アクション
Microsoft.Network/仮想ネットワーク/読み取り
Microsoft.Network/virtualNetworks/checkIpAddressAvailability/読み取り
Microsoft.Network/virtualNetworks/サブネット/読み取り
Microsoft.Network/virtualNetworks/サブネット/書き込み
Microsoft.Network/virtualNetworks/サブネット/virtualMachines/読み取り
Microsoft.Network/virtualNetworks/virtualMachines/読み取り
Microsoft.Network/virtualNetworks/サブネット/参加/アクション
Microsoft.Resources/デプロイメント/運用/読み取り
Microsoft.Resources/デプロイメント/読み取り
Microsoft.Resources/デプロイメント/書き込み
Microsoft.Resources/リソース/読み取り
Microsoft.Resources/サブスクリプション/操作結果/読み取り
Microsoft.Resources/サブスクリプション/リソースグループ/削除
Microsoft.Storage/checknameavailability/読み取り
Microsoft.Storage/操作/読み取り
Microsoft.Storage/storageAccounts/削除
Microsoft.Storage/使用状況/読み取り
Microsoft.Compute/スナップショット/書き込み
Microsoft.Compute/スナップショット/読み取り
Microsoft.Compute/availabilitySets/書き込み
Microsoft.Compute/availabilitySets/読み取り
Microsoft.Compute/ディスク/beginGetAccess/アクション
Microsoft.MarketplaceOrdering/オファータイプ/発行者/オファー/プラン/契約/読み取り
Microsoft.MarketplaceOrdering/オファータイプ/パブリッシャー/オファー/プラン/契約/書き込み
Microsoft.Network/ロードバランサー/読み取り
Microsoft.Network/ロードバランサー/書き込み
Microsoft.Network/loadBalancers/削除
Microsoft.Network/loadBalancers/backendAddressPools/読み取り
Microsoft.Network/loadBalancers/backendAddressPools/参加/アクション
Microsoft.Network/loadBalancers/loadBalancingRules/読み取り
Microsoft.Network/loadBalancers/プローブ/読み取り
Microsoft.Network/loadBalancers/プローブ/参加/アクション
Microsoft.Authorization/locks/*
Microsoft.Network/routeTables/join/アクション
Microsoft. NetApp/netAppAccounts/read
Microsoft. NetApp/netAppAccounts/capacityPools/read
Microsoft. NetApp/netAppAccounts/capacityPools/volumes/write
Microsoft. NetApp/netAppAccounts/capacityPools/volumes/read
Microsoft. NetApp/netAppAccounts/capacityPools/volumes/delete
Microsoft.Network/privateEndpoints/書き込み
Microsoft.Storage/storageAccounts/PrivateEndpointConnectionsApproval/アクション
Microsoft.Storage/storageAccounts/privateEndpointConnections/読み取り
Microsoft.Network/privateEndpoints/読み取り
Microsoft.Network/privateDnsZones/書き込み
Microsoft.Network/privateDnsZones/virtualNetworkLinks/書き込み
Microsoft.Network/仮想ネットワーク/参加/アクション
Microsoft.Network/privateDnsZones/A/書き込み
Microsoft.Network/privateDnsZones/読み取り
Microsoft.Network/privateDnsZones/virtualNetworkLinks/読み取り
Microsoft.Resources/デプロイメント/操作ステータス/読み取り
Microsoft.Insights/メトリック/読み取り
Microsoft.Compute/仮想マシン/拡張機能/書き込み
Microsoft.Compute/virtualMachines/拡張機能/削除
Microsoft.Compute/virtualMachines/拡張機能/読み取り
Microsoft.Compute/仮想マシン/削除
Microsoft.Network/ネットワークインターフェイス/削除
Microsoft.Network/ネットワークセキュリティグループ/削除
Microsoft.Resources/デプロイメント/削除
Microsoft.Compute/diskEncryptionSets/読み取り
Microsoft.Compute/スナップショット/削除
Microsoft.Network/privateEndpoints/削除
Microsoft.Compute/availabilitySets/削除
Microsoft.KeyVault/vaults/読み取り
Microsoft.KeyVault/vaults/accessPolicies/書き込み
Microsoft.Compute/diskEncryptionSets/書き込み
Microsoft.KeyVault/vaults/deploy/action
Microsoft.Compute/diskEncryptionSets/削除
Microsoft.Resources/タグ/読み取り
Microsoft.Resources/タグ/書き込み
Microsoft.Resources/タグ/削除
Microsoft.Network/アプリケーションセキュリティグループ/書き込み
Microsoft.Network/applicationSecurityGroups/読み取り
Microsoft.Network/applicationSecurityGroups/joinIpConfiguration/アクション
Microsoft.Network/ネットワークセキュリティグループ/セキュリティルール/書き込み
Microsoft.Network/applicationSecurityGroups/削除
Microsoft.Network/ネットワークセキュリティグループ/セキュリティルール/削除
Microsoft.Synapse/ワークスペース/書き込み
Microsoft.Synapse/ワークスペース/読み取り
Microsoft.Synapse/ワークスペース/削除
Microsoft.Synapse/登録/アクション
Microsoft.Synapse/checkNameAvailability/アクション
Microsoft.Synapse/ワークスペース/操作ステータス/読み取り
Microsoft.Synapse/ワークスペース/ファイアウォールルール/読み取り
Microsoft.Synapse/ワークスペース/replaceAllIpFirewallRules/アクション
Microsoft.Synapse/ワークスペース/操作結果/読み取り
Microsoft.Synapse/ワークスペース/プライベートエンドポイント接続承認/アクション
Microsoft.ManagedIdentity/userAssignedIdentities/割り当て/アクション
Microsoft.Compute/images/書き込み
Microsoft.Network/loadBalancers/frontendIPConfigurations/読み取り
Microsoft.Compute/仮想マシンスケールセット/書き込み
Microsoft.Compute/仮想マシンスケールセット/読み取り
Microsoft.Compute/virtualMachineScaleSets/削除

JSON ロールの例に次の権限が追加されました。

Microsoft.Authorization/ロック/書き込み
Microsoft.Authorization/ロック/読み取り

従来のインデックスを使用していない限り、バックアップとリカバリには次の権限は不要になりました。

Microsoft.Synapse/ワークスペース/書き込み
Microsoft.Synapse/ワークスペース/読み取り
Microsoft.Synapse/ワークスペース/削除
Microsoft.Synapse/登録/アクション
Microsoft.Synapse/checkNameAvailability/アクション
Microsoft.Synapse/ワークスペース/操作ステータス/読み取り
Microsoft.Synapse/ワークスペース/ファイアウォールルール/読み取り
Microsoft.Synapse/ワークスペース/replaceAllIpFirewallRules/アクション
Microsoft.Synapse/ワークスペース/操作結果/読み取り
Microsoft.Synapse/ワークスペース/プライベートエンドポイント接続承認/アクション

次の権限は、最小限の構成では必要ないため、「追加のバックアップおよび回復権限」セクションに移動されました。

Microsoft.Storage/storageAccounts/listkeys/アクション
Microsoft.Storage/storageAccounts/読み取り
Microsoft.Storage/ストレージアカウント/書き込み
Microsoft.Storage/storageAccounts/blobServices/containers/読み取り
Microsoft.Storage/storageAccounts/listAccountSas/アクション
Microsoft.Resources/サブスクリプション/場所/読み取り
Microsoft.Resources/サブスクリプション/リソースグループ/読み取り
Microsoft.Resources/サブスクリプション/リソースグループ/リソース/読み取り
Microsoft.Resources/サブスクリプション/リソースグループ/書き込み
Microsoft.Storage/storageAccounts/managementPolicies/読み取り
Microsoft.Storage/storageAccounts/managementPolicies/書き込み
Microsoft.Authorization/ロック/書き込み
Microsoft.Authorization/ロック/読み取り

2024年9月9日

コンソールでは Kubernetes クラスターの検出と管理がサポートされなくなったため、次の権限が JSON ポリシーから削除されました。

Microsoft.ContainerService/managedClusters/listClusterUserCredential/アクション
Microsoft.ContainerService/managedClusters/読み取り

2024年8月22日

仮想マシンスケールセットのCloud Volumes ONTAPサポートに必要なため、次の権限が JSON ポリシーに追加されました。

Microsoft.Compute/仮想マシンスケールセット/書き込み
Microsoft.Compute/仮想マシンスケールセット/読み取り
Microsoft.Compute/virtualMachineScaleSets/削除

2023年12月5日

ボリュームデータを Azure Blob ストレージにバックアップする場合、 NetApp Backup and Recoveryでは次の権限は不要になりました。

Microsoft.Compute/仮想マシン/読み取り
Microsoft.Compute/virtualMachines/start/action
Microsoft.Compute/virtualMachines/割り当て解除/アクション
Microsoft.Compute/virtualMachines/拡張機能/削除
Microsoft.Compute/仮想マシン/削除

これらの権限は他のコンソールストレージサービスに必要なので、他のストレージサービスを使用している場合は、エージェントのカスタムロールに引き続き残ります。

2023年5月12日

Cloud Volumes ONTAP管理に必要なため、次の権限が JSON ポリシーに追加されました。

Microsoft.Compute/images/書き込み
Microsoft.Network/loadBalancers/frontendIPConfigurations/読み取り

次の権限は不要になったため、JSON ポリシーから削除されました。

Microsoft.Storage/storageAccounts/blobServices/コンテナー/書き込み
Microsoft.Network/publicIPAddresses/削除

2023年3月23日

データ分類には「Microsoft.Storage/storageAccounts/delete」アクセス許可は不要になりました。

この権限は、Cloud Volumes ONTAPでも必要です。

2023年1月5日

次の権限が JSON ポリシーに追加されました。

Microsoft.Storage/storageAccounts/listAccountSas/アクション
Microsoft.Synapse/ワークスペース/プライベートエンドポイント接続承認/アクション

これらの権限は、NetApp Backup and Recoveryに必要です。
Microsoft.Network/loadBalancers/backendAddressPools/参加/アクション

この権限は、Cloud Volumes ONTAP のデプロイメントに必要です。