Translated ['src/pentesting-cloud/azure-security/az-basic-information/RE

2025-12-31 15:05:44 -08:00 · 2025-02-05 23:38:30 +00:00
parent bdca49edd7
commit f077a140cd
1 changed files with 53 additions and 54 deletions
--- a/src/pentesting-cloud/azure-security/az-basic-information/README.md
+++ b/src/pentesting-cloud/azure-security/az-basic-information/README.md
@@ -9,13 +9,13 @@
 ### 管理グループ

 - **他の管理グループやサブスクリプション**を含むことができます。
- これにより、管理グループレベルで**ガバナンスコントロール**（RBACやAzureポリシーなど）を適用し、グループ内のすべてのサブスクリプションに**継承**させることができます。
+- これにより、管理グループレベルで**ガバナンスコントロール**（RBACやAzureポリシーなど）を一度適用し、グループ内のすべてのサブスクリプションに**継承**させることができます。
 - **10,000の管理**グループが単一のディレクトリでサポートされます。
 - 管理グループツリーは**最大6レベルの深さ**をサポートできます。この制限にはルートレベルやサブスクリプションレベルは含まれません。
 - 各管理グループとサブスクリプションは**1つの親**のみをサポートできます。
 - 複数の管理グループを作成できる場合でも、**ルート管理グループは1つだけ**です。
 - ルート管理グループは**すべての他の管理グループとサブスクリプションを含み**、**移動または削除することはできません**。
- 単一の管理グループ内のすべてのサブスクリプションは、**同じEntra IDテナントを信頼**しなければなりません。
+- 単一の管理グループ内のすべてのサブスクリプションは**同じEntra IDテナントを信頼**しなければなりません。

 <figure><img src="../../../images/image (147).png" alt=""><figcaption><p><a href="https://td-mainsite-cdn.tutorialsdojo.com/wp-content/uploads/2023/02/managementgroups-768x474.png">https://td-mainsite-cdn.tutorialsdojo.com/wp-content/uploads/2023/02/managementgroups-768x474.png</a></p></figcaption></figure>

@@ -23,16 +23,16 @@

 - これは、リソース（VM、DBなど）を実行し、請求される**論理コンテナ**です。
 - その**親**は常に**管理グループ**であり（ルート管理グループであることも可能）、サブスクリプションは他のサブスクリプションを含むことはできません。
- **1つのEntra ID**ディレクトリのみを信頼します。
+- **1つのEntra ID**ディレクトリのみを**信頼**します。
 - サブスクリプションレベル（またはその親のいずれか）で適用された**権限**は、サブスクリプション内のすべてのリソースに**継承**されます。

 ### リソースグループ

-[ドキュメントから:](https://learn.microsoft.com/en-us/azure/azure-resource-manager/management/manage-resource-groups-python?tabs=macos#what-is-a-resource-group) リソースグループは、Azureソリューションのための**関連リソース**を保持する**コンテナ**です。リソースグループには、ソリューションのすべてのリソースを含めることも、管理したい**リソースのみ**を含めることもできます。一般的に、**同じライフサイクル**を共有する**リソース**を同じリソースグループに追加することで、グループとして簡単に展開、更新、削除できます。
+[ドキュメントから:](https://learn.microsoft.com/en-us/azure/azure-resource-manager/management/manage-resource-groups-python?tabs=macos#what-is-a-resource-group) リソースグループは、Azureソリューションのための**関連リソース**を保持する**コンテナ**です。リソースグループには、ソリューションのすべてのリソースを含めることも、管理したい**リソースのみ**を含めることもできます。一般的に、**同じライフサイクル**を共有するリソースを同じリソースグループに追加することで、グループとして簡単に展開、更新、削除できます。

 すべての**リソース**は**リソースグループ内**に存在し、グループにのみ属することができ、リソースグループが削除されると、その中のすべてのリソースも削除されます。

-<figure><img src="https://lh7-rt.googleusercontent.com/slidesz/AGV_vUfe8U30iP_vdZCvxX4g8nEPRLoo7v0kmCGkDn1frBPn3_GIoZ7VT2LkdsVQWCnrG_HSYNRRPM-1pSECUkbDAB-9YbUYLzpvKVLDETZS81CHWKYM4fDl3oMo5-yvTMnjdLTS2pz8U67xUTIzBhZ25MFMRkq5koKY=s2048?key=gSyKQr3HTyhvHa28Rf7LVA" alt=""><figcaption><p><a href="https://i0.wp.com/azuredays.com/wp-content/uploads/2020/05/org.png?resize=748%2C601&#x26;ssl=1">https://i0.wp.com/azuredays.com/wp-content/uploads/2020/05/org.png?resize=748%2C601&#x26;ssl=1</a></p></figcaption></figure>
+<figure><img src="https://i0.wp.com/azuredays.com/wp-content/uploads/2020/05/org.png?resize=748%2C601&ssl=1" alt=""><figcaption><p><a href="https://i0.wp.com/azuredays.com/wp-content/uploads/2020/05/org.png?resize=748%2C601&ssl=1">https://i0.wp.com/azuredays.com/wp-content/uploads/2020/05/org.png?resize=748%2C601&ssl=1</a></p></figcaption></figure>

 ### AzureリソースID

@@ -42,7 +42,7 @@ AzureリソースIDの形式は次のとおりです：

 - `/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}`

-サブスクリプションID `12345678-1234-1234-1234-123456789012` のリソースグループ `myResourceGroup` にある仮想マシン名 `myVM` のAzureリソースIDは次のようになります：
+サブスクリプションID `12345678-1234-1234-1234-123456789012` のリソースグループ `myResourceGroup` にある仮想マシン `myVM` のAzureリソースIDは次のようになります：

 - `/subscriptions/12345678-1234-1234-1234-123456789012/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM`

@@ -58,7 +58,7 @@ Entra IDは、認証、承認、ユーザーアクセス制御を処理するた

 ### Entraドメインサービス（旧Azure AD DS）

-Entraドメインサービスは、従来のWindows Active Directory環境と互換性のある**管理されたドメインサービス**を提供することでEntra IDの機能を拡張します。LDAP、Kerberos、NTLMなどのレガシープロトコルをサポートし、組織がオンプレミスのドメインコントローラーを展開することなく、古いアプリケーションをクラウドで移行または実行できるようにします。このサービスは、集中管理のためのグループポリシーもサポートしており、レガシーまたはADベースのワークロードが最新のクラウド環境と共存する必要があるシナリオに適しています。
+Entraドメインサービスは、従来のWindows Active Directory環境と互換性のある**管理されたドメインサービス**を提供することでEntra IDの機能を拡張します。LDAP、Kerberos、NTLMなどのレガシープロトコルをサポートし、組織がオンプレミスのドメインコントローラーを展開せずに、古いアプリケーションをクラウドで移行または実行できるようにします。このサービスは、集中管理のためのグループポリシーもサポートしており、レガシーまたはADベースのワークロードが最新のクラウド環境と共存する必要があるシナリオに適しています。

 ## Entra IDプリンシパル

@@ -71,7 +71,7 @@ Entraドメインサービスは、従来のWindows Active Directory環境と互
 - プロパティ（名、職名、連絡先情報など）を示す
 - デフォルトのユーザータイプは「**メンバー**」
 - **外部ユーザー**
- 招待するメールと表示名を示す（Microsoft以外のメールも可）
+- 招待するメールと表示名を示す（Microsoft以外のメールも可能）
 - プロパティを示す
 - デフォルトのユーザータイプは「**ゲスト**」

@@ -88,35 +88,35 @@ Entraドメインサービスは、従来のWindows Active Directory環境と互
 - Azureに最大50デバイスを追加する（_オフにすることが可能_）

 > [!NOTE]
-> Azureリソースを列挙するには、ユーザーに明示的に権限を付与する必要があります。
+> Azureリソースを列挙するには、ユーザーに明示的な権限の付与が必要です。

-### ユーザーのデフォルト設定可能な権限
+### ユーザーのデフォルト設定可能権限

 - **メンバー（**[**ドキュメント**](https://learn.microsoft.com/en-gb/entra/fundamentals/users-default-permissions#restrict-member-users-default-permissions)**）**
 - アプリケーションの登録：デフォルトは**はい**
- 非管理者ユーザーがテナントを作成するのを制限：デフォルトは**いいえ**
- セキュリティグループを作成する：デフォルトは**はい**
+- 非管理者ユーザーによるテナントの作成を制限：デフォルトは**いいえ**
+- セキュリティグループの作成：デフォルトは**はい**
 - Microsoft Entra管理ポータルへのアクセスを制限：デフォルトは**いいえ**
 - これはポータルへのAPIアクセスを制限しません（ウェブのみ）
 - ユーザーがLinkedInと仕事または学校のアカウントを接続できるようにする：デフォルトは**はい**
 - ユーザーをサインインしたままにする：デフォルトは**はい**
- ユーザーが所有するデバイスのBitLockerキーを回復するのを制限：デフォルトはいいえ（デバイス設定で確認）
+- ユーザーが所有するデバイスのBitLockerキーを回復することを制限：デフォルトは**いいえ**（デバイス設定で確認）
 - 他のユーザーを読み取る：デフォルトは**はい**（Microsoft Graph経由）
 - **ゲスト**
- **ゲストユーザーアクセス制限**
- **ゲストユーザーはメンバーと同じアクセス権を持つ**は、デフォルトでゲストユーザーにすべてのメンバー権限を付与します。
- **ゲストユーザーはディレクトリオブジェクトのプロパティとメンバーシップへのアクセスが制限される（デフォルト）**は、デフォルトでゲストのアクセスを自分のユーザープロファイルのみに制限します。他のユーザーやグループ情報へのアクセスは許可されません。
- **ゲストユーザーアクセスは自分のディレクトリオブジェクトのプロパティとメンバーシップに制限される**は、最も制限的です。
- **ゲストは招待できる**
- **組織内の誰でもゲストユーザーを招待できる（ゲストや非管理者を含む、最も包括的） - デフォルト**
+- **ゲストユーザーアクセス制限**オプション：
+- **ゲストユーザーはメンバーと同じアクセス権を持ちます**。
+- **ゲストユーザーはディレクトリオブジェクトのプロパティとメンバーシップへのアクセスが制限されています（デフォルト）**。これにより、デフォルトでゲストは自分のユーザープロファイルのみへのアクセスが許可されます。他のユーザーやグループ情報へのアクセスは許可されません。
+- **ゲストユーザーアクセスは自分のディレクトリオブジェクトのプロパティとメンバーシップに制限されています**が最も制限的です。
+- **ゲストを招待する**オプション：
+- **組織内の誰でもゲストユーザーを招待できます（最も包括的） - デフォルト**
 - **メンバーユーザーおよび特定の管理役割に割り当てられたユーザーは、メンバー権限を持つゲストを含むゲストユーザーを招待できます**
 - **特定の管理役割に割り当てられたユーザーのみがゲストユーザーを招待できます**
- **組織内の誰もゲストユーザーを招待できない（管理者を含む、最も制限的）**
+- **組織内の誰もゲストユーザーを招待できません（最も制限的）**
 - **外部ユーザーの退会**：デフォルトは**真**
- 外部ユーザーが組織を離れることを許可
+- 外部ユーザーが組織を退会できるようにする

 > [!TIP]
-> デフォルトで制限されていても、権限が付与されたユーザー（メンバーとゲスト）は前述のアクションを実行できます。
+> デフォルトで制限されていても、権限が付与されたユーザー（メンバーおよびゲスト）は前述のアクションを実行できます。

 ### **グループ**

@@ -133,9 +133,9 @@ Entraドメインサービスは、従来のWindows Active Directory環境と互

 ### **サービスプリンシパル**

-**サービスプリンシパル**は、**アプリケーション**、ホスティングサービス、および自動化ツールがAzureリソースにアクセスするために**使用**される**アイデンティティ**です。このアクセスは、サービスプリンシパルに割り当てられた役割によって**制限され**、**どのリソースにアクセスできるか**とそのレベルを制御します。セキュリティ上の理由から、**ユーザーアイデンティティでログインするのではなく、自動化ツールとともにサービスプリンシパルを使用することを常に推奨します**。
+**サービスプリンシパル**は、**アプリケーション**、ホスティングサービス、および自動化ツールがAzureリソースにアクセスするために**使用**される**アイデンティティ**です。このアクセスは、サービスプリンシパルに割り当てられた役割によって**制限され**、**どのリソースにアクセスできるか**とそのレベルを制御します。セキュリティ上の理由から、**ユーザーアイデンティティでログインするのではなく、自動化ツールとともにサービスプリンシパルを使用することが常に推奨されます**。

-サービスプリンシパルとして**直接ログインする**ことも可能で、**シークレット**（パスワード）、**証明書**、または第三者プラットフォーム（例：Github Actions）への**フェデレーテッド**アクセスを付与することができます。
+サービスプリンシパルとして直接ログインすることも可能で、**シークレット**（パスワード）、**証明書**を生成するか、第三者プラットフォーム（例：Github Actions）への**フェデレーテッド**アクセスを付与することができます。

 - **パスワード**認証を選択した場合（デフォルト）、**生成されたパスワードを保存**してください。再度アクセスすることはできません。
 - 証明書認証を選択した場合、**アプリケーションがプライベートキーにアクセスできることを確認**してください。
@@ -148,12 +148,11 @@ Entraドメインサービスは、従来のWindows Active Directory環境と互

 1. **アプリケーションID（クライアントID）**：Azure AD内のアプリの一意の識別子。
 2. **リダイレクトURI**：Azure ADが認証応答を送信するURL。
-3. **証明書、シークレット、フェデレーテッド資格情報**：サービスプリンシパルとしてアプリケーションにログインするためのシークレットまたは証明書を生成することができ、またはそれにフェデレーテッドアクセスを付与することができます（例：Github Actions）。
-1. **証明書**または**シークレット**が生成された場合、**アプリケーションID**、**シークレット**または**証明書**、および**テナント**（ドメインまたはID）を知っていることで、CLIツールを使用して**サービスプリンシパルとしてログイン**できます。
+3. **証明書、シークレット、フェデレーテッド資格情報**：アプリケーションのサービスプリンシパルとしてログインするためにシークレットまたは証明書を生成するか、フェデレーテッドアクセスを付与することができます（例：Github Actions）。
 4. **API権限**：アプリがアクセスできるリソースまたはAPIを指定します。
-5. **認証設定**：アプリのサポートされている認証フローを定義します（例：OAuth2、OpenID Connect）。
-6. **サービスプリンシパル**：アプリが作成されると（ウェブコンソールから行われた場合）、サービスプリンシパルが作成されます。
-1. **サービスプリンシパル**は、構成されたすべての要求された権限を取得します。
+5. **認証設定**：アプリがサポートする認証フローを定義します（例：OAuth2、OpenID Connect）。
+6. **サービスプリンシパル**：アプリが作成されると（ウェブコンソールから行った場合）、サービスプリンシパルが作成されます。
+7. **サービスプリンシパル**は、構成されたすべての要求された権限を取得します。

 ### デフォルト同意権限

@@ -161,8 +160,8 @@ Entraドメインサービスは、従来のWindows Active Directory環境と互

 - **ユーザー同意を許可しない**
 - すべてのアプリに対して管理者が必要です。
- **検証されたパブリッシャーからのアプリに対して、選択された権限のユーザー同意を許可する（推奨）**
- すべてのユーザーは、「低影響」と分類された権限に対して同意でき、検証されたパブリッシャーからのアプリやこの組織に登録されたアプリに対して同意できます。
+- **確認されたパブリッシャーからのアプリに対するユーザー同意を許可する、選択された権限について（推奨）**
+- すべてのユーザーは、「低影響」と分類された権限について、確認されたパブリッシャーからのアプリまたはこの組織に登録されたアプリに同意できます。
 - **デフォルト**の低影響権限（ただし、低影響として追加するには同意が必要）：
 - User.Read - サインインしてユーザープロファイルを読み取る
 - offline_access - ユーザーがアクセスを許可したデータへのアクセスを維持する
@@ -176,24 +175,24 @@ Entraドメインサービスは、従来のWindows Active Directory環境と互

 - ユーザーは、同意できないアプリに対して管理者同意を要求できます。
 - **はい**の場合：同意要求を行うことができるユーザー、グループ、役割を指定できます。
- ユーザーがメール通知や期限切れリマインダーを受け取るかどうかも設定します。
+- ユーザーがメール通知や期限切れリマインダーを受け取るかどうかも設定できます。

-### **マネージドアイデンティティ（メタデータ）**
+### **管理されたアイデンティティ（メタデータ）**

-Azure Active Directoryのマネージドアイデンティティは、アプリケーションの**アイデンティティを自動的に管理する**ためのソリューションを提供します。これらのアイデンティティは、Azure Active Directory（**Azure AD**）認証と互換性のある**リソース**に接続するためにアプリケーションによって使用されます。これにより、アプリケーションは**メタデータ**サービスに連絡して、Azureで指定されたマネージドアイデンティティとして**アクションを実行する**ための有効なトークンを取得できるため、クラウド資格情報をコードにハードコーディングする必要がなくなります。
+Azure Active Directoryの管理されたアイデンティティは、アプリケーションの**アイデンティティを自動的に管理する**ためのソリューションを提供します。これらのアイデンティティは、Azure Active Directory（**Azure AD**）認証と互換性のある**リソース**に接続するためにアプリケーションによって使用されます。これにより、アプリケーションは**メタデータ**サービスに連絡して、Azureで指定された管理されたアイデンティティとして**アクションを実行する**ための有効なトークンを取得できるため、クラウド資格情報をコードにハードコーディングする必要がなくなります。

-マネージドアイデンティティには2種類あります：
+管理されたアイデンティティには2種類あります：

- **システム割り当て**。一部のAzureサービスでは、**サービスインスタンスに直接マネージドアイデンティティを有効にする**ことができます。システム割り当てマネージドアイデンティティを有効にすると、**サービスプリンシパル**がリソースが存在するサブスクリプションのEntra IDテナントに作成されます。**リソース**が**削除される**と、Azureは自動的に**アイデンティティ**を削除します。
- **ユーザー割り当て**。ユーザーがマネージドアイデンティティを生成することも可能です。これらは、サブスクリプション内のリソースグループ内に作成され、サブスクリプションによって信頼されるEntraIDにサービスプリンシパルが作成されます。その後、マネージドアイデンティティを1つまたは**複数のAzureサービスのインスタンス**に割り当てることができます（複数のリソース）。ユーザー割り当てマネージドアイデンティティの場合、**アイデンティティはそれを使用するリソースとは別に管理されます**。
+- **システム割り当て**。一部のAzureサービスでは、**サービスインスタンスに直接管理されたアイデンティティを有効にする**ことができます。システム割り当ての管理されたアイデンティティを有効にすると、リソースが存在するサブスクリプションによって信頼されるEntra IDテナントに**サービスプリンシパル**が作成されます。**リソース**が**削除されると**、Azureは自動的に**アイデンティティ**を削除します。
+- **ユーザー割り当て**。ユーザーが管理されたアイデンティティを生成することも可能です。これらは、サブスクリプション内のリソースグループ内に作成され、サブスクリプションによって信頼されるEntraIDにサービスプリンシパルが作成されます。その後、管理されたアイデンティティをAzureサービスの1つまたは**複数のインスタンス**に割り当てることができます（複数のリソース）。ユーザー割り当ての管理されたアイデンティティの場合、**アイデンティティはそれを使用するリソースとは別に管理されます**。

-マネージドアイデンティティは、サービスプリンシパルに付随する**永続的な資格情報**（パスワードや証明書など）を生成しません。
+管理されたアイデンティティは、サービスプリンシパルに付随する**永続的な資格情報**（パスワードや証明書など）を生成しません。

 ### エンタープライズアプリケーション

 これは、サービスプリンシパルをフィルタリングし、割り当てられたアプリケーションを確認するための**Azure内のテーブル**です。

-**「エンタープライズアプリケーション」という別のタイプの「アプリケーション」ではありません。** Azure内に「エンタープライズアプリケーション」というオブジェクトは存在せず、サービスプリンシパル、アプリ登録、マネージドアイデンティティを確認するための抽象化に過ぎません。
+**別の「アプリケーション」タイプではありません**。Azure内に「エンタープライズアプリケーション」というオブジェクトは存在せず、サービスプリンシパル、アプリ登録、管理されたアイデンティティを確認するための抽象化に過ぎません。

 ### 管理ユニット

@@ -221,7 +220,7 @@ Azure Active Directoryのマネージドアイデンティティは、アプリ

 ## 役割と権限

-**役割**は**プリンシパル**に**スコープ**で**割り当てられます**： `principal -[HAS ROLE]->(scope)`
+**役割**は**プリンシパル**に**スコープ**で割り当てられます： `principal -[HAS ROLE]->(scope)`

 **グループ**に割り当てられた**役割**は、グループのすべての**メンバー**に**継承**されます。

@@ -229,17 +228,17 @@ Azure Active Directoryのマネージドアイデンティティは、アプリ

 ### **クラシック役割**

-| **オーナー**                     | <ul><li>すべてのリソースへの完全なアクセス</li><li>他のユーザーのアクセスを管理できる</li></ul> | すべてのリソースタイプ |
+| **オーナー**                     | <ul><li>すべてのリソースへの完全なアクセス</li><li>他のユーザーへのアクセスを管理できる</li></ul> | すべてのリソースタイプ |
 | ----------------------------- | ---------------------------------------------------------------------------------------- | ------------------ |
-| **寄稿者**               | <ul><li>すべてのリソースへの完全なアクセス</li><li>アクセスを管理できない</li></ul>              | すべてのリソースタイプ |
+| **寄与者**               | <ul><li>すべてのリソースへの完全なアクセス</li><li>アクセスを管理できない</li></ul>              | すべてのリソースタイプ |
 | **リーダー**                    | • すべてのリソースを表示                                                                     | すべてのリソースタイプ |
-| **ユーザーアクセス管理者** | <ul><li>すべてのリソースを表示</li><li>他のユーザーのアクセスを管理できる</li></ul>           | すべてのリソースタイプ |
+| **ユーザーアクセス管理者** | <ul><li>すべてのリソースを表示</li><li>他のユーザーへのアクセスを管理できる</li></ul>           | すべてのリソースタイプ |

 ### 組み込み役割

-[ドキュメントから: ](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles)[Azureロールベースアクセス制御（Azure RBAC）](https://learn.microsoft.com/en-us/azure/role-based-access-control/overview)には、**ユーザー、グループ、サービスプリンシパル、およびマネージドアイデンティティ**に**割り当てることができる**いくつかのAzureの**組み込み役割**があります。役割の割り当ては、**Azureリソースへのアクセスを制御する方法**です。組み込み役割が組織の特定のニーズを満たさない場合は、独自の[**Azureカスタム役割**](https://learn.microsoft.com/en-us/azure/role-based-access-control/custom-roles)**を作成できます。**
+[ドキュメントから: ](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles)[Azureロールベースアクセス制御（Azure RBAC）](https://learn.microsoft.com/en-us/azure/role-based-access-control/overview)には、**ユーザー、グループ、サービスプリンシパル、および管理されたアイデンティティ**に**割り当てることができる**いくつかのAzureの**組み込み役割**があります。役割の割り当ては、**Azureリソースへのアクセスを制御する**方法です。組み込み役割が組織の特定のニーズを満たさない場合は、独自の[**Azureカスタム役割**](https://learn.microsoft.com/en-us/azure/role-based-access-control/custom-roles)**を作成できます。**

-**組み込み**役割は、**意図されたリソース**にのみ適用されます。たとえば、次の2つの**組み込み役割**の例を確認してください：
+**組み込み**役割は、**意図されたリソース**にのみ適用されます。たとえば、以下の2つの**組み込み役割**の例を確認してください：

 | [ディスクバックアップリーダー](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles#disk-backup-reader)                 | ディスクバックアップを実行するためのバックアップボールトへの権限を提供します。      | 3e5e47e6-65f7-47ef-90b5-e5dd4d455f24 |
 | ----------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------------- | ------------------------------------ |
@@ -294,7 +293,7 @@ Azure Active Directoryのマネージドアイデンティティは、アプリ
 ```
 ### Permissions order

- リソースに対して**principalがアクセスを持つためには**、明示的な役割が付与される必要があります（いかなる方法でも）**その権限を付与します**。
+- リソースに対して**principalがアクセスを持つためには**、明示的な役割が付与される必要があります（いずれにせよ）**その権限を付与します**。
 - 明示的な**拒否役割の割り当ては**、権限を付与する役割よりも優先されます。

 <figure><img src="../../../images/image (191).png" alt=""><figcaption><p><a href="https://link.springer.com/chapter/10.1007/978-1-4842-7325-8_10">https://link.springer.com/chapter/10.1007/978-1-4842-7325-8_10</a></p></figcaption></figure>
@@ -310,7 +309,7 @@ Global Administratorの役割を持つユーザーは、**Root Management Group

 ### Azure Policies

-**Azure Policies**は、組織がリソースが特定の基準およびコンプライアンス要件を満たすことを保証するためのルールです。これにより、**Azure内のリソースに対して設定を強制または監査することができます**。たとえば、許可されていない地域での仮想マシンの作成を防止したり、すべてのリソースに追跡用の特定のタグが付けられていることを確認したりできます。
+**Azure Policies**は、組織がリソースが特定の基準およびコンプライアンス要件を満たすことを保証するのに役立つルールです。これにより、**Azure内のリソースに対して設定を強制または監査することができます**。たとえば、許可されていない地域での仮想マシンの作成を防止したり、すべてのリソースに特定のタグを付けて追跡を確実にすることができます。

 Azure Policiesは**プロアクティブ**です：非準拠のリソースが作成または変更されるのを防ぐことができます。また、**リアクティブ**でもあり、既存の非準拠リソースを見つけて修正することができます。

@@ -326,9 +325,9 @@ Azure Policiesは**プロアクティブ**です：非準拠のリソースが
 1. **特定のAzure地域でのコンプライアンスの確保**: このポリシーは、すべてのリソースが特定のAzure地域にデプロイされることを保証します。たとえば、企業はGDPRコンプライアンスのためにすべてのデータがヨーロッパに保存されることを望むかもしれません。
 2. **命名基準の強制**: ポリシーはAzureリソースの命名規則を強制できます。これにより、大規模な環境でリソースを整理し、名前に基づいて簡単に識別するのに役立ちます。
 3. **特定のリソースタイプの制限**: このポリシーは、特定のタイプのリソースの作成を制限できます。たとえば、コストを制御するために、特定のVMサイズのような高価なリソースタイプの作成を防ぐポリシーを設定できます。
-4. **タグ付けポリシーの強制**: タグは、リソース管理に使用されるAzureリソースに関連付けられたキーと値のペアです。ポリシーは、すべてのリソースに特定のタグが存在する必要があるか、特定の値を持つ必要があることを強制できます。これは、コスト追跡、所有権、またはリソースの分類に役立ちます。
+4. **タグ付けポリシーの強制**: タグは、リソース管理に使用されるAzureリソースに関連付けられたキーと値のペアです。ポリシーは、すべてのリソースに特定のタグが存在するか、特定の値を持つ必要があることを強制できます。これは、コスト追跡、所有権、またはリソースの分類に役立ちます。
 5. **リソースへの公共アクセスの制限**: ポリシーは、ストレージアカウントやデータベースのような特定のリソースに公共エンドポイントがないことを強制し、組織のネットワーク内でのみアクセスできるようにします。
-6. **セキュリティ設定の自動適用**: ポリシーは、すべてのVMに特定のネットワークセキュリティグループを適用したり、すべてのストレージアカウントが暗号化を使用することを保証したりするために、リソースに自動的にセキュリティ設定を適用するために使用できます。
+6. **セキュリティ設定の自動適用**: ポリシーは、すべてのVMに特定のネットワークセキュリティグループを適用したり、すべてのストレージアカウントが暗号化を使用することを保証するなど、リソースにセキュリティ設定を自動的に適用するために使用できます。

 Azure PoliciesはAzure階層の任意のレベルに添付できますが、**一般的にはルート管理グループ**または他の管理グループで使用されます。

@@ -352,7 +351,7 @@ Azure policy json example:
 ```
 ### 権限の継承

-Azureでは**権限は階層の任意の部分に割り当てることができます**。これには管理グループ、サブスクリプション、リソースグループ、および個々のリソースが含まれます。権限は、割り当てられたエンティティの**リソース**によって**継承**されます。
+Azure **権限は階層の任意の部分に割り当てることができます**。これには管理グループ、サブスクリプション、リソースグループ、および個々のリソースが含まれます。権限は、割り当てられたエンティティの**リソース**によって**継承**されます。

 この階層構造は、アクセス権限の効率的かつスケーラブルな管理を可能にします。

@@ -360,11 +359,11 @@ Azureでは**権限は階層の任意の部分に割り当てることができ

 ### Azure RBAC と ABAC

-**RBAC**（ロールベースのアクセス制御）は、前のセクションで見たものです：**リソースに対するアクセスを付与するために、プリンシパルにロールを割り当てる**ことです。\
-しかし、場合によっては**より細かいアクセス管理**を提供したり、**数百の**ロール**割り当て**の管理を**簡素化**したいことがあります。
+**RBAC**（ロールベースのアクセス制御）は、前のセクションで見たものです：**リソースへのアクセスを付与するために、プリンシパルにロールを割り当てる**ことです。\
+しかし、場合によっては、**より細かいアクセス管理**を提供したり、**数百の**ロール**割り当て**の管理を**簡素化**したいことがあります。

-Azure **ABAC**（属性ベースのアクセス制御）は、特定のアクションの文脈における**属性に基づくロール割り当て条件**を追加することでAzure RBACを拡張します。_ロール割り当て条件_は、**より細かいアクセス制御を提供するためにオプションでロール割り当てに追加できる追加のチェック**です。条件は、ロール定義およびロール割り当ての一部として付与される権限をフィルタリングします。たとえば、**オブジェクトを読み取るために特定のタグを持つ必要がある条件を追加できます**。\
-特定のリソースに対して**条件を使用して**明示的に**アクセスを拒否することは**できません。
+Azure **ABAC**（属性ベースのアクセス制御）は、特定のアクションの文脈における**属性に基づくロール割り当て条件**を追加することでAzure RBACを拡張します。_ロール割り当て条件_は、**より細かいアクセス制御を提供するためにオプションでロール割り当てに追加できる追加のチェック**です。条件は、ロール定義およびロール割り当ての一部として付与される権限を絞り込みます。たとえば、**オブジェクトを読み取るために特定のタグを持つ必要がある条件を追加できます**。\
+条件を使用して特定のリソースへの**アクセスを明示的に拒否することはできません**。

 ## 参考文献