【概要】
WafCharm Azure 版を利用するためには Application Gateway の WAF への read / write 権限と Log Analytics の read 権限を WafCharm に提供する必要があります。以下の作業は「所有者」相当の権限を持ったアカウントで実施してください。
必要なロールのみ確認したい方は こちら をご確認ください。
※ 本記事ではサブスクリプション単位での権限付与の説明をいたします。一般的にはリソースグループやリソースに絞っての権限付与が推奨されますので、ご自身の Azure 習熟度に応じて適宜ご対応ください。
目次
1. アプリケーションの登録
1-1. Azure Portal にログインして、検索バーから 「アプリの登録」 を入力し、選択します。
WafCharm はユーザーのアプリケーションを利用して、ルールの更新といった運用作業や、ユーザーのアクティブディレクトリに対してPartner Admin Link (PAL) の紐付けを行います。
(※) PAL の紐付けによって WafCharm によって生成、管理される Azure リソースの費用を、サイバーセキュリティクラウドがマイクロソフトへ計上できるようになります。サイバーセキュリティクラウドがマイクロソフトとのパートナーシップを強化するために利用します。その他サービスと関係のない情報がサイバーセキュリティクラウドに提供される心配はございません。
1-2. 「新規登録」 を選択して、名前を入力し 「アカウントの種類」 を選択してください。名前は任意ですが分かりやすさのために 「wafcharm」 などで良いでしょう。
1-3. これでアプリケーションの登録は完了です
1-4. シークレットキーの払い出しのため左メニューの 「証明書とシークレット」 を選択し、「新しいクライアント シークレット」 を選択します。
1-5. クライアント シークレットの説明を入力し、有効期限を選択します。 有効期限がすぎると WafCharm が動作しなくなりますので、組織のセキュリティポリシーに反しない限りは 「なし」 を選択することを推奨します。
1-6. シークレットキーの払い出しが完了です。
2. カスタムロールの登録
2-1. Azure Portal にログインして、検索バーから 「サブスクリプション」 を検索し、選択します。
2-2. カスタムロールを追加するサブスクリプションを選択します。
2-3. 「追加」 から 「カスタムロールの追加」 を選択します。
2-4. カスタムロール名を入力し、「次へ」 を選択します。カスタムロール名は任意です。wafcharm-role、role-wafcharm などとしておくと WafCharm にどんな権限を提供しているかが分かりやすいでしょう。
2-5. 「アクセス許可の追加」 を選択し、 WAF policy と Log Analytics に対する権限を追加していきます。
必要となる権限は以下です。
“Microsoft.Network/applicationGatewayAvailableWafRuleSets/read”
“Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/write”
“Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/read”
“Microsoft.Network/applicationGateways/read”
“Microsoft.OperationalInsights/workspaces/query/read”
“Microsoft.OperationalInsights/workspaces/query/AzureDiagnostics/read”
上から一つずつ追加します。
例えば「Microsoft.Network/applicationGatewayAvailableWafRuleSets/read」を追加したい場合は、下の画像のように「Microsoft.Network/applicationGatewayAvailableWafRuleSets/read」で検索したのちに「Microsoft Network」 を選択し、該当する権限を全てチェックすることになります。
注意ですが「Microsoft.OperationalInsights/workspaces/query/AzureDiagnostics/read」については下のイメージのようにチェック項目が複数出てくるので両方チェックしましょう。
2-6. 「確認と作成」 を選択してください。
2-7. 「作成」 でカスタムロールの作成は完了です。
2-8. カスタムロールのJSONは以下となります。
※「サブスクリプションID」をご利用の環境に合わせることで以下のJSONを用いて登録することが可能です。
{
"properties": {
"roleName": "wafcharm",
"description": "",
"assignableScopes": [
"/subscriptions/<サブスクリプションID>"
],
"permissions": [
{
"actions": [
"Microsoft.Network/applicationGatewayAvailableWafRuleSets/read",
"Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/write",
"Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/read",
"Microsoft.Network/applicationGateways/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/AzureDiagnostics/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}
3. ロールの割り当て
3-1. Azure Portal にログインして、検索バーから 「サブスクリプション」 を検索します。
3-2. 「アプリケーションの登録」 を行ったサブスクリプションを選択します。
3-3. 左メニューの 「アクセス制御 (IAM)」 を選択し、「追加」 から 「ロールの割り当ての追加」 を選択します。
3-4. 「役割」 に 2. カスタムロールの登録 で作成したカスタムロールを選択し、1. アプリケーションの登録 で作成したアプリケーションを選び 「保存」 で完了です。
4. まとめ
以上 WafCharm Azure 版を利用するためのアカウントの作成と権限の設定についての説明させていただきました。