Attribuer un utilisateur en tant qu’administrateur d’un abonnement Azure avec des conditions

  • Article

Pour faire d’un utilisateur un administrateur d’un abonnement Azure, vous les affectez au rôle Propriétaire dans l’étendue de l’abonnement. Le rôle Propriétaire donne à l’utilisateur un accès total à toutes les ressources de l’abonnement, notamment l’autorisation d’accorder l’accès à d’autres personnes. Étant donné que le rôle Propriétaire est un rôle hautement privilégié, Microsoft vous recommande d’ajouter une condition pour limiter l’attribution de rôle. Par exemple, vous pouvez autoriser un utilisateur à attribuer uniquement le rôle Contributeur de machine virtuelle aux principaux de service.

Cet article explique comment affecter un utilisateur en tant qu’administrateur d’un abonnement Azure avec des conditions. Ces étapes sont les mêmes que celles de n’importe quelle autre attribution de rôle.

Prérequis

Pour attribuer des rôles Azure, vous devez disposer de :

Étape 1 : Ouvrir l’abonnement

  1. Connectez-vous au portail Azure.

  2. Dans la zone de recherche située en haut, recherchez les abonnements.

  3. Cliquez sur l’abonnement que vous souhaitez utiliser.

    Voici un exemple d’abonnement.

    Screenshot of Subscriptions overview

Étape 2 : Ouvrir la page Ajouter une attribution de rôle

La page Contrôle d’accès (IAM) vous permet généralement d’attribuer des rôles afin d’accorder l’accès aux ressources Azure. Elle est également connue sous le nom de gestion des identités et des accès (IAM) et apparaît à plusieurs endroits du portail Azure.

  1. Cliquez sur Contrôle d’accès (IAM) .

    Voici un exemple de page Contrôle d'accès (IAM) pour un abonnement.

    Screenshot of Access control (IAM) page for a subscription.

  2. Cliquez sur l’onglet Attributions de rôles afin d’afficher les attributions de rôles pour cette étendue.

  3. Cliquez sur Ajouter>Ajouter une attribution de rôle.

    Si vous n’avez pas les autorisations pour attribuer des rôles, l’option Ajouter une attribution de rôle sera désactivée.

    Screenshot of Add > Add role assignment menu.

    La page Ajouter une attribution de rôle s’ouvre.

Étape 3 : Sélectionner le rôle Propriétaire

Le rôle Propriétaire octroie un accès total à la gestion de toutes les ressources, notamment la possibilité d’attribuer des rôles dans Azure RBAC. Vous devez disposer d'un maximum de trois propriétaires d’abonnement afin de réduire le risque de violation par un propriétaire compromis.

  1. Sous l’onglet Rôle , sélectionnez l’onglet Rôles d’administrateur privilégié.

    Screenshot of Add role assignment page with Privileged administrator roles tab selected.

  2. Sélectionnez le rôle Propriétaire.

  3. Sélectionnez Suivant.

Étape 4 : Sélectionner les utilisateurs qui ont besoin d’un accès

  1. Dans l’onglet Membres, sélectionnez Utilisateur, groupe ou principal du service.

    Screenshot of Add role assignment page with Add members tab.

  2. Cliquez sur Sélectionner des membres.

  3. Recherchez et sélectionnez l’utilisateur.

    Vous pouvez entrer du texte dans la zone Sélectionner pour rechercher des noms d’affichage ou des adresses e-mail dans le répertoire.

    Screenshot of Select members pane.

  4. Cliquez sur Enregistrer pour ajouter l’utilisateur à la liste Membres.

  5. Dans la zone de texte Description, entrez une description facultative pour cette attribution de rôle.

    Par la suite, vous pouvez afficher cette description dans la liste des attributions de rôle.

  6. Sélectionnez Suivant.

Étape 5 : Ajouter une condition

Étant donné que le rôle Propriétaire est un rôle hautement privilégié, Microsoft vous recommande d’ajouter une condition pour limiter l’attribution de rôle.

  1. Sous l’onglet Conditions, sous Ce que l’utilisateur peut faire, sélectionnez l’option Autoriser l’utilisateur à attribuer uniquement des rôles sélectionnés aux principaux sélectionnés (moins de privilèges).

    Screenshot of Add role assignment with the constrained option selected.

  2. Sélectionnez Sélectionner des rôles et des principaux.

    La page Ajouter une condition d’attribution de rôle s’affiche avec une liste de modèles de condition.

    Screenshot of Add role assignment condition with a list of condition templates.

  3. Sélectionnez un modèle de condition, puis sélectionnez Configurer.

    Modèle de condition Sélectionnez ce modèle pour
    Limiter les rôles Autoriser l’utilisateur à attribuer uniquement des rôles que vous sélectionnez
    Limiter les rôles et les types principaux Autoriser l’utilisateur à attribuer uniquement des rôles que vous sélectionnez
    Autoriser l’utilisateur à attribuer uniquement ces rôles aux types principaux que vous sélectionnez (utilisateurs, groupes ou principaux de service)
    Limiter les rôles et les principaux Autoriser l’utilisateur à attribuer uniquement des rôles que vous sélectionnez
    Autoriser l’utilisateur à attribuer uniquement ces rôles aux principaux que vous sélectionnez

    Conseil

    Si vous souhaitez autoriser la plupart des attributions de rôles, mais n’autorisez pas d’attributions de rôles spécifiques, vous pouvez utiliser l’éditeur de condition avancé et ajouter manuellement une condition. Pour obtenir un exemple, consultez Exemple : Autoriser la plupart des rôles, mais n’autorisez pas d’autres utilisateurs à attribuer des rôles.

  4. Dans le volet de configuration, ajoutez les configurations requises.

    Screenshot of configure pane for a condition with selection added.

  5. Sélectionnez Enregistrer pour ajouter la condition à l’attribution de rôle.

Étape 6 : Attribuer le rôle

  1. Sous l’onglet Vérifier + attribuer, vérifiez les paramètres d’attribution de rôle.

  2. Cliquez sur Vérifier + attribuer pour attribuer le rôle.

    Après quelques instants, le rôle Propriétaire est attribué à l’utilisateur au niveau de l’abonnement.

    Screenshot of role assignment list after assigning role.

Étapes suivantes