Compétences azure-rbac
📦

azure-rbac

Sûr

最小権限でAzure RBACロールを割り当てる

このスキルは、Azure管理者が特定の権限に必要な最小RBACロールを見つけ、セキュリティを確保したCLIコマンドとBicepコードを生成するのに役立ちます。

Prend en charge: Claude Codex Code(CC)
🥉 74 Bronze
1

Télécharger le ZIP du skill

2

Importer dans Claude

Allez dans Paramètres → Capacités → Skills → Importer un skill

3

Activez et commencez à utiliser

Tester

Utilisation de "azure-rbac". managed identityにBLOBを読み取るためにどのようなロールを割り当てればよいですか?

Résultat attendu:

  • Storage Blob Data Reader(プレビュー)は、BLOBストレージへの読み取り専用アクセスに推奨される組み込みロールです。
  • リソーススコープ:ロールはストレージアカウント、コンテナ、またはBLOBレベルで割り当てることができます。
  • 最小権限のため、コンテナ全体をストレージアカウントではなく、特定のコンテナレベルで割り当ててください。

Utilisation de "azure-rbac". サービスプリンシパルにロールを割り当てるBicepコードを生成する

Résultat attendu:

  • resource roleAssignment 'Microsoft.Authorization/roleAssignments@2022-04-01' = { name: guid(subscription().id, servicePrincipalId, roleDefinitionId) properties: { principalId: servicePrincipalId roleDefinitionId: roleDefinitionId principalType: 'ServicePrincipal' } }

Audit de sécurité

Sûr
v1 • 2/21/2026

Static analysis flagged 4 instances of 'Weak cryptographic algorithm' at SKILL.md lines 3 and 8. These are FALSE POSITIVES. Line 3 contains YAML syntax (description: >-) for multiline strings. Line 8 references Azure MCP tools (azure__documentation, azure__extension_cli_generate). The skill is a legitimate Microsoft Azure RBAC helper that recommends least-privilege roles and generates infrastructure code.

1
Fichiers analysés
9
Lignes analysées
0
résultats
1
Total des audits
Aucun problème de sécurité trouvé

Motifs détectés

Weak Cryptographic Algorithm (False Positive)
Audité par: claude

Score de qualité

38
Architecture
100
Maintenabilité
87
Contenu
50
Communauté
100
Sécurité
91
Conformité aux spécifications

Ce que vous pouvez construire

BLOBストレージへの読み取りアクセスを許可する

特定のストレージアカウントでBLOBを読み取るためにサービスプリンシパルに必要な最小のロールを見つける

API権限用のカスタムロールを作成する

組み込みロールが広すぎる場合に、特定のAPI権限を持つカスタムRBACロールを定義する

CI/CDでロール割り当てを自動化する

Azure DevOpsまたはGitHub Actionsでデプロイできるロール割り当て用のBicepコードを生成する

Essayez ces prompts

ストレージ読み取り用のロールを見つける 
Azure StorageアカウントでBLOBを読み取るために必要な最小RBACロールは何ですか?
managed identity用のロール 
managed identityに割り当ててリソースグループの仮想マシンを一覧表示できるようにするRBACロールは何ですか?
ロール割り当てCLIを生成する 
ストレージアカウントのユーザー割り当てmanaged identityにStorage Blob Data Readerロールを割り当てるAzure CLIコマンドを生成してください。
カスタムロール定義を作成する 
ストレージコンテナとBLOBでの読み取りと一覧表示を許可するが、削除や書き込み操作は許可しないカスタムRBACロール定義を作成してください。

Bonnes pratiques

  • 常に可能な限り狭いスコープ(リソースまたはリソースグループ対サブスクリプション)でロールを割り当てます
  • メンテナンスが容易なため、カスタムロールではなく組み込みロールを使用します
  • 各ロール割り当てのビジネス上の正当性を文書化します

Éviter

  • より具体的なロールが利用可能である場合にOwnerまたはContributorロールを割り当てます
  • リソースレベルのスコープで十分な場合にサブスクリプションまたは管理グループスコープでロールを割り当てます
  • カスタムロール定義でワイルドカード(*)権限を使用します

Foire aux questions

Storage Blob Data ReaderとStorage Blob Data Ownerの違いは何ですか?
Storage Blob Data Readerは、BLOBとコンテナへの読み取り専用アクセスを提供します。Storage Blob Data Ownerは、書き込み、削除、ACL権限の設定を含むフルアクセスを提供します。最小権限のため、常にReaderを使用してください。
managed identityにRBACロールを割り当てることができますか?
はい。ユーザー割り当てとシステム割り当ての両方のmanaged identityにRBACロールを割り当てることができます。ロール割り当てでmanaged identityのprincipalIdを使用してください。
組み込みロールのロール定義IDを見つけるにはどうすればいいですか?
Azure CLIを使用してください:az role definition list --role-name "Storage Blob Data Reader"でroleDefinitionId(/providers/Microsoft.Authorization/roleDefinitions/2a2b9908-6bc1-4aae-9c59-2c7b10959305のような完全修飾ID)を取得します。
ロール割り当てにはどのようなスコープを使用すべきですか?
可能な限り狭いスコープを使用してください。単一リソースにはリソースレベル、同じグループ内の複数リソースにはリソースグループ、組織全体のアクセスが必要な場合にのみサブスクリプションで割り当てます。
このスキルはAzure AD entitlement managementの調査に役立ちますか?
いいえ、このスキルはRBACロールの割り当てに焦点を当てています。Azure AD Privileged Identity Management(PIM)とentitlement managementは別システムであり、対象範囲外です。
サブスクリプション内の既存のロール割り当てを監査するにはどうすればいいですか?
Azure CLIを使用してください:az role assignment list --all --output tableですべての割り当てを一覧表示するか、サブスクリプション全体の監査にはAzure Resource Graphクエリを使用します。このスキルは監査機能を提供しません。

Détails du développeur

Auteur

microsoft

Licence

MIT

Dépôt

https://github.com/microsoft/github-copilot-for-azure/tree/main/plugin/skills/azure-rbac/

Réf

main

Structure de fichiers

📄 SKILL.md