サービス コネクタによって割り当てられる Microsoft Entra ロール
サービス コネクタの目的は、さまざまな Azure サービスを接続するプロセスを簡略化することです。 接続がサービス コネクタを使用して作成される際に、サービス コネクタはこれらの Azure サービス間の認証を構成します。
これを行うために、サービス コネクタは、Azure リソースへのアクセス管理を提供する Azure のロールベースのアクセス制御 (RBAC) 認可システムを使用します。
この記事では、サービス コネクタによって既定で割り当てられるロールをまとめ、別のロールを選択する方法について説明します。
組み込みのロール
既定では、ユーザーが以下に示す認証の種類のいずれかを選択すると、サービス コネクタは次の表に示すロールをマネージド ID に割り当てます。
- システム割り当てマネージド ID
- ユーザー割り当てマネージド ID
- ワークロード ID
- サービス プリンシパル
| Target services (ターゲット サービス) | 組み込みのロール | 説明 | ID |
|---|---|---|---|
| Azure Cosmos DB | DocumentDB Account Contributor | Azure Cosmos DB アカウントを管理できます。 Azure Cosmos DB は以前は DocumentDB と呼ばれていました。 | 5bd9cd88-fe45-4216-938b-f97437e15450 |
| Azure Key Vault | Key Vault Secrets User | シークレット コンテンツを読み取ります。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。 | 4633458b-17de-408a-b874-0445c86b69e6 |
| Key Vault Certificate User | 証明書の内容を表示します。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。 | db79e9a7-68ee-4b58-9aeb-b90e7c24fcba | |
| Azure Blob Storage | ストレージ BLOB データ共同作成者 | Azure Storage コンテナーと BLOB の読み取り、書き込み、削除を行います。 | ba92f5b4-2d11-453d-a403-e96b0029c9fe |
| Azure Storage キュー | ストレージ キュー データ共同作成者共同作成者 | Azure Storage キューおよびキュー メッセージの読み取り、書き込み、削除を行います。 | 974c5e8b-45b9-4653-ba55-5f855dd0fb88 |
| Azure Storage Table | ストレージ テーブル データ共同作成者 | Azure Storage テーブルおよびエンティティに対する読み取り、書き込み、削除のアクセス権。 | 0a9a7e1f-b9d0-4cc4-a60d-0319b160aaa3 |
| Azure Event Hubs | Azure Event Hubs データ受信者 | Azure Event Hubs リソースへの受信アクセスを許可します。 | a638d3c7-ab3a-418d-83e6-5f17a39d4fde |
| Azure Event Hubs データ送信者 | Azure Event Hubs リソースへの送信アクセスを許可します。 | 2b629674-e913-4c01-ae53-ef4638d8f975 | |
| Azure App Configuration | App Configuration データ閲覧者 | App Configuration データへの読み取りアクセスを許可します。 | 516239f1-63e1-4d78-a4de-a74fb236a071 |
| Azure Service Bus | Service Bus データ レシーバー | Azure Service Bus リソースへの受信アクセスを許可します。 | 4f6d3b9b-027b-4f4c-9142-0e5a2a2247e0 |
| Service Bus データ センダー | Azure Service Bus リソースへの送信アクセスを許可します。 | 69a216fc-b8fb-44d8-bc22-1f3c2cd27a39 | |
| Azure SignalR | SignalR Service 所有者 | Azure SignalR Service REST API へのフル アクセス。 | 7e4f1700-ea5a-4f59-8f37-079cfe29dce3 |
| Azure WebPubSub | SignalR/Web PubSub 共同作成者 | SignalR Service リソースの作成、読み取り、更新、削除を行います。 | 8cf5e20a-e4b2-4e9d-b3a1-5ceb692c2761 |
| Azure OpenAI Service | Cognitive Services OpenAI 共同作成者 | 微調整、デプロイ、テキストの生成を行う権限を含むフル アクセス。 | a001fd3d-188f-4b5d-821b-7da978bf7442 |
| Azure Cognitive Service | Cognitive Services ユーザー | Cognitive Services のキーの読み取りおよび一覧表示を行うことができます。 | a97b65f3-24c7-4388-baec-2e87135dc908 |
これらのロールの詳細については、「Azure の組み込みロール」を参照してください
ロールのカスタマイズ
サービス コネクタで新しい接続を作成する場合、ユーザーは既定のロール以外のロールを選択できます。 これは、Azure portal の [サービス コネクタ] メニューの [認証] タブの [詳細]>[ロール] で実行します。
