【概要】

WafCharm Azure 版を利用するためには Application Gateway の WAF への read / write 権限と Log Analytics の read 権限を WafCharm に提供する必要があります。以下の作業は「所有者」相当の権限を持ったアカウントで実施してください。

必要なロールのみ確認したい方は こちら をご確認ください。

目次

  1. 1. アプリケーションの登録
  2. 2. カスタムロールの登録
  3. 3. ロールの割り当て
  4. 4. まとめ

1. アプリケーションの登録

1-1. Azure Portal にログインして、検索バーから 「アプリの登録」 を入力し、選択します。

 

1-2. 「新規登録」 を選択して、名前を入力し 「アカウントの種類」 を選択してください。名前は任意ですが分かりやすさのために 「wafcharm」 などで良いでしょう。

 

1-3. これでアプリケーションの登録は完了です

 

1-4. シークレットキーの払い出しのため左メニューの 「証明書とシークレット」 を選択し、「新しいクライアント シークレット」 を選択します。

 

1-5. クライアント シークレットの説明を入力し、有効期限を選択します。 有効期限がすぎると WafCharm が動作しなくなりますので、組織のセキュリティポリシーに反しない限りは 「なし」 を選択することを推奨します。

 

1−6. シークレットキーの払い出しが完了です。

 

2. カスタムロールの登録

2-1. Azure Portal にログインして、検索バーから 「サブスクリプション」 を検索し、選択します。

 

2-2. カスタムロールを追加するサブスクリプションを選択します。

 

2-3. 「追加」 から 「カスタムロールの追加」 を選択します。

 

2-4. カスタムロール名を入力し、「次へ」 を選択します。カスタムロール名は任意です。wafcharm-role、role-wafcharm などとしておくと WafCharm にどんな権限を提供しているかが分かりやすいでしょう。

 

2-5. 「アクセス許可の追加」 を選択し、「WAF」 を検索します。

 

2-6. 「読み取り」 「書き込み」 の権限のみ選択し 「追加」 してください。 「削除」 は不要です。

 

2-7. 再度 「アクセス許可の追加」 を選択し、「log analytics」 を検索します。

 

2-8. 「diagnostics」 で検索して 「Read AzureDiagnostics data」 の2つの 「読み取り」 を選択してください。

 

2-9. さらに 「query data」 で検索して 「Query Data in Workspace」 の 「読み取り」 を選択し「追加」してください。

 

2-10. 「確認と作成」 を選択してください。

 

2-11. 「作成」 でカスタムロールの作成は完了です。

 

2-12. カスタムロールのJSONは以下となります。

※「サブスクリプションID」をご利用の環境に合わせることで以下のJSONを用いて登録することも可能です。

{
    "properties": {
        "roleName": "wafcharm",
        "description": "",
        "assignableScopes": [
            "/subscriptions/<サブスクリプションID>"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.Network/applicationGatewayAvailableWafRuleSets/read",
                    "Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/write",
                    "Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/read",
                    "Microsoft.OperationalInsights/workspaces/query/read",
                    "Microsoft.OperationalInsights/workspaces/query/AzureDiagnostics/read"
                ],
                "notActions": [],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}

3. ロールの割り当て

3-1. Azure Portal にログインして、検索バーから 「サブスクリプション」 を検索します。

 

3-2. 「アプリケーションの登録」 を行ったサブスクリプションを選択します。

 

3-3. 左メニューの 「アクセス制御 (IAM)」 を選択し、「追加」 から 「ロールの割り当ての追加」 を選択します。

 

3-4. 「役割」 に 2. カスタムロールの登録 で作成したカスタムロールを選択し、1. アプリケーションの登録 で作成したアプリケーションを選び 「保存」 で完了です。

 

4. まとめ

以上 WafCharm Azure 版を利用するためのアカウントの作成と権限の設定についての説明させていただきました。