少ない権限でVM管理を行うユーザーを作って「とりあえず」VM作成から起動まで


Virtual
Machines

 

こんにちはMPです。

 

本来のゴールはVMの自動起動をしたい(しかもAutomateのみで)、という望みを実現する

今回は環境を準備するために本当に少ないロール(最低限とは言ってない)でVMを起動するユーザーを作ってまずはVMを作ってみます。

 

 

やりたいこと

新しくVMを管理するAzureユーザーを作ってVMの作成・起動・停止を実施する。

 

目的のユーザーを作る

サブスクリプションの所有者権限を使ってまずはミニマムなユーザーを作ります。

ユーザーを作るために、「Azure Active Directory」を開いてユーザーの追加を選びます。

 

とりあえずなんも権限のないユーザーを作ります。

ここで同時にロールの追加が可能ですが、後ほど。

できました。

 

カスタムロールの作成


しがない個人ユーザーには使えないようです。

会社でAzureの管理者まで上り詰めたら記事にしたいですね。

 

ロールの割り当て

しょうがないので個別にロールを割り当てていきます。

ロール 説明
グローバル閲覧者 グローバル管理者が読み取れるものすべての読み取りが可能ですが、どれも更新することはできません。

まずはリソースが閲覧できる閲覧者を。。(全部見えてるよ)

 

続いてVMに関するロールをわりあてるんだけど、直接ユーザーにロールを与えることはできないようです。

そこで、リソースグループにロールの割り当てを追加し、ユーザーにロールを与えるようにします。

リソースグループを開いてアクセス制御(IAM)がから割り当てます。

ロール 説明
仮想マシン共同作成者 Virtual Machines を管理できます。ただし、それらへのアクセスは含まれません。また、それらが接続している仮想ネットワーク、もしくはストレージ アカウントも含まれません。
ストレージ アカウント共同作成者 ストレージ アカウント データへのフル アクセスを提供するストレージ アカウント キーへのアクセスなど、ストレージ アカウントを管理できます。

とりあえずこの2つを割り当てておきます。

 

VMを作ってみる

先ほど作成したVM管理ユーザーでログインをして、

仮想マシンを作ってみます。

 

この流れだといくつかエラーがでます。

ネットワークタブの設定部分で、

 ○ネットワークセキュリティグループの作成

 ○仮想ネットワークの作成

 (パグリックIPの割り当ては今回はしません)

がエラーになります。選択肢として、ネットワーク系のロールを付与することもできますが、今回はVM作成に絞っているので、あらかじめ管理者で作成しておきましょう。(無責任)

作成時にログイン方法を証明書にしておくと、作成するときに証明書をダウンロードできません。正式運用するならこのロールも必要ですね(他人事)

 

 


いろいろ問題が残っていますが無事にVM起動しました!
ログインするつもりもないし、外から入れるようにもしないので問題ありません。

 

最終的なゴール

AutomationだけでVMを自動起動です。

次はAutomationアカウントを作成してこのVMを自動起動するように設定することを目指していきます。