概要

AzureでWafCharmを利用する場合に必要な権限とその設定手順を記載します。

必要な権限

Application Gateway の WAF への read / write 権限と Log Analytics の read 権限が必要です。

• "Microsoft.Network/applicationGatewayAvailableWafRuleSets/read"
• "Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/write"
• "Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/read"
• "Microsoft.Network/applicationGateways/read"
• "Microsoft.OperationalInsights/workspaces/query/read"
• "Microsoft.OperationalInsights/workspaces/query/AzureDiagnostics/read"

カスタムロールのJSON

JSON形式の場合、以下の通りとなります。

{
    "properties": {
        "roleName": "wafcharm",
        "description": "",
        "assignableScopes": [
            "/subscriptions/<サブスクリプションID>"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.Network/applicationGatewayAvailableWafRuleSets/read",
                    "Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/write",
                    "Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/read",
                    "Microsoft.Network/applicationGateways/read",
                    "Microsoft.OperationalInsights/workspaces/query/read",
                    "Microsoft.OperationalInsights/workspaces/query/AzureDiagnostics/read"
                ],
                "notActions": [],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}

全体の流れ

1. アプリケーションの登録
2. カスタムロールの登録と権限の付与
3. ロールの割り当て

手順

1. Azure Portalを開く
2. [アプリの登録] 画面を開く
3. [新規登録] をクリックする

   

4. [名前] を入力し、[サポートされているアカウントの種類] を選択する

   名前はどのような値でも問題ありません。わかりやすいものにすることをおすすめします。

   

5. [登録] をクリックする
6. 登録したアカウントの詳細画面を開く
7. 左側のメニューにある [証明書とシークレット] をクリックする

   

8. [新しいクライアント シークレット] をクリックする

   

9. [クライアント シークレット] の [説明] を入力し、 [有効期限] を選択する

   

10. [追加] をクリックする
11. 登録したシークレットの [値] をコピーする

    この値は大切に保管してください。後ほどWAF Policy Configの設定をする際に使用します。

    

12. [サブスクリプション] 画面を開く
13. カスタムロールを追加するサブスクリプションを選択する

    

14. 左側のメニューから [アクセス制御 (IAM)] をクリックする

    

15. [追加] をクリックする

    

16. [カスタム ロールの追加]をクリックする

    

17. [カスタム ロール名を] を入力し、 [次へ] をクリックする

    

18. [アクセス許可の追加] を選択し、必要な権限 を追加する

    以下のスクリーンショットのように、必要な権限に記載されている各種パーミッションをコピー＆ペーストして検索し、検索結果から、追加する権限にチェックを入れます。同じ手順をすべての権限に対して繰り返してください。

    

19. すべての権限を追加し終えたら、[確認と作成] をクリックする

    

20. [作成] をクリックする

    

21. [サブスクリプション] 画面を開く
22. カスタムロールの追加を行ったサブスクリプションを開く
23. 左側のメニューから [アクセス制御 (IAM)] をクリックする

    

24. [追加] をクリックする

    

25. [ロール割り当ての追加] をクリックする

    

26. 手順13から20で作成したカスタムロールを検索し、選択する
27. [メンバー] タブにて [メンバーの選択] をクリックする
28. 手順2から5で登録したアプリケーションを選択する
29. [確認と作成] をクリックする

注意点

• シークレットの有効期限が切れた場合、新しく発行した上でWafCharm側の更新も必要です。シークレットの期限が切れた場合や、Azure Portal上ではシークレットの更新をしたもののWafCharm管理画面上では更新されていない場合などは、WafCharmからの更新が行えなくなります。