勉強メモのため不正確な内容が含まれます
RBAC : Role Base Access Control
Azureの権限周りの話ややこしいですね。。
まず、何に対する権限なのか、ということをハッキリさせておく必要があります。
大きく分けると
・AzureAD
・Azureリソース(VMやStorageとかの各種のサービス)
・サブスクリプション
があります。
AzureADに対しては、Azure AD ロールを使って権限を割り当てます。
Azure ADは普通のリソースとは違って独立した権限があります。
Azure AD ロール
・全体管理者(Global Administorator)
・ユーザー管理者(User Administrator)
・課金管理者(Billimg Administrator)
普通のリソースに対してはAzure ロールを用います(サブスクリプション含む)
・所有者(Owner)
・共同作成者(Contributer)→ 強い権限を持っているが、アクセス権の変更はできない
・閲覧者(Reader)
では、なぜ最初にサブスクリプションを別で書いたかというと、歴史的経緯により別の権限があるためです。
従来のサブスクリプション管理者ロール(Classic subscription administorator roles)
・アカウント管理者(Account Administorator)
・サービス管理者(Service Administotator)
・共同管理者(Co-Administorator)
合計3つのロール区分があるのがややこしい原因でした。
日本語で書くと混乱するので、英語でも覚えておくとよさそうです。