メインコンテンツへスキップ

リソース移行時のロール一括割り当ての方法について

[Q]

リソースを他のサブスクリプションに移行する際、Azureロールがリソースに直接割り当てられている場合、ロールは移行されずにそのサブスクリプション内に残り、移行後に対象のリソースにロールの再割り当てを再作成する必要になります。

ロールを再割り当ての際、元のロール情報一覧ファイルなどを使用するなどで一括で再割り当てをする方法はありますでしょうか。

 

[A]

移行先のサブスクリプションが同一の Azure AD をご利用される場合でしたら、事前に同じ種類のモデルのリソース (対象のリソースに割り当てられているロールも同一のもの) を用意していただき、
対象のリソースを移行先のサブスクリプションに移行した後に下記のコマンドを実施していただくことで、一括でロールを再割り当てすることが可能でございます。

つきまして再割り当てをする際は下記コマンドを実施していただけますと幸いでございます。

$srcResourceId = "同種類のモデルリソースIDを指定"
$dstResourceId = "移行したリソースIDを指定"

$getAzRoles = Get-AzRoleAssignment -Scope $srcResourceId | Where-Object { $_.Scope -eq $srcResourceId } | Select-Object DisplayName, ObjectId, RoleDefinitionName, RoleDefinitionId
$getAzRoles

foreach($getAzRole in $getAzRoles){
New-AzRoleAssignment -ObjectId $getAzRole.ObjectId `
-RoleDefinitionName $getAzRole.RoleDefinitionName `
-Scope $dstResourceId
}

※移行先のサブスクリプションが同一の Azure AD をご利用されない場合は、カスタムロールは移行先のサブスクリプションではご利用できませんので、カスタムロールは別途移行先のサブスクリプションで作成していただく必要がございます。

また、ビルトインロールの場合は、上記のコマンドで移行可能でございます。

 

ロールの割り当て、カスタムロールに関しては以下参考資料をご参照にいただけますと幸いでございます。

 

[参考資料]

<リソースを新しいリソース グループまたはサブスクリプションに移動する>

https://docs.microsoft.com/ja-jp/azure/azure-resource-manager/management/move-resource-group-and-subscription


<リソースを新しいリソース グループまたはサブスクリプションに移動する - リソースの移動前のチェック リスト>
https://docs.microsoft.com/ja-jp/azure/azure-resource-manager/management/move-resource-group-and-subscription#checklist-before-moving-resources
---抜粋---
3. Azure ロールがリソース (または子リソース) に直接割り当てられているリソースを移動する場合、ロールの割り当ては移動されず、孤立します。 移動した後は、ロールの割り当てを再作成する必要があります。 最終的に、孤立したロールの割り当ては自動的に削除されますが、移動する前にロールの割り当てを削除することをお勧めします。

<Azure portal を使用して Azure ロールを割り当てる>
https://docs.microsoft.com/ja-jp/azure/role-based-access-control/role-assignments-portal?tabs=current

 

<Azure PowerShell を使用して Azure ロールを割り当てる - Azure ロールを割り当てる手順>
https://docs.microsoft.com/ja-jp/azure/role-based-access-control/role-assignments-powershell#steps-to-assign-an-azure-role

 

<Azure カスタム ロール - カスタムロールの作成手順>
https://docs.microsoft.com/ja-jp/azure/role-based-access-control/custom-roles#steps-to-create-a-custom-role


<Azure リソース プロバイダーの操作>
https://docs.microsoft.com/ja-jp/azure/role-based-access-control/resource-provider-operations#microsoftclassiccompute

 

[更新日」

202107