Attribuer un utilisateur en tant qu’administrateur d’un abonnement Azure avec des conditions
Pour faire d’un utilisateur un administrateur d’un abonnement Azure, vous les affectez au rôle Propriétaire dans l’étendue de l’abonnement. Le rôle Propriétaire donne à l’utilisateur un accès total à toutes les ressources de l’abonnement, notamment l’autorisation d’accorder l’accès à d’autres personnes. Étant donné que le rôle Propriétaire est un rôle hautement privilégié, Microsoft vous recommande d’ajouter une condition pour limiter l’attribution de rôle. Par exemple, vous pouvez autoriser un utilisateur à attribuer uniquement le rôle Contributeur de machine virtuelle aux principaux de service.
Cet article explique comment affecter un utilisateur en tant qu’administrateur d’un abonnement Azure avec des conditions. Ces étapes sont les mêmes que celles de n’importe quelle autre attribution de rôle.
Prérequis
Pour attribuer des rôles Azure, vous devez disposer de :
Microsoft.Authorization/roleAssignments/write
autorisations, telles que le contrôle d’accès en fonction du rôle Administration istrateur ou l’accès utilisateur Administration istrator
Étape 1 : Ouvrir l’abonnement
Connectez-vous au portail Azure.
Dans la zone de recherche située en haut, recherchez les abonnements.
Cliquez sur l’abonnement que vous souhaitez utiliser.
Voici un exemple d’abonnement.
Étape 2 : Ouvrir la page Ajouter une attribution de rôle
La page Contrôle d’accès (IAM) vous permet généralement d’attribuer des rôles afin d’accorder l’accès aux ressources Azure. Elle est également connue sous le nom de gestion des identités et des accès (IAM) et apparaît à plusieurs endroits du portail Azure.
Cliquez sur Contrôle d’accès (IAM) .
Voici un exemple de page Contrôle d'accès (IAM) pour un abonnement.
Cliquez sur l’onglet Attributions de rôles afin d’afficher les attributions de rôles pour cette étendue.
Cliquez sur Ajouter>Ajouter une attribution de rôle.
Si vous n’avez pas les autorisations pour attribuer des rôles, l’option Ajouter une attribution de rôle sera désactivée.
La page Ajouter une attribution de rôle s’ouvre.
Étape 3 : Sélectionner le rôle Propriétaire
Le rôle Propriétaire octroie un accès total à la gestion de toutes les ressources, notamment la possibilité d’attribuer des rôles dans Azure RBAC. Vous devez disposer d'un maximum de trois propriétaires d’abonnement afin de réduire le risque de violation par un propriétaire compromis.
Sous l’onglet Rôle , sélectionnez l’onglet Rôles d’administrateur privilégié.
Sélectionnez le rôle Propriétaire.
Sélectionnez Suivant.
Étape 4 : Sélectionner les utilisateurs qui ont besoin d’un accès
Dans l’onglet Membres, sélectionnez Utilisateur, groupe ou principal du service.
Cliquez sur Sélectionner des membres.
Recherchez et sélectionnez l’utilisateur.
Vous pouvez entrer du texte dans la zone Sélectionner pour rechercher des noms d’affichage ou des adresses e-mail dans le répertoire.
Cliquez sur Enregistrer pour ajouter l’utilisateur à la liste Membres.
Dans la zone de texte Description, entrez une description facultative pour cette attribution de rôle.
Par la suite, vous pouvez afficher cette description dans la liste des attributions de rôle.
Sélectionnez Suivant.
Étape 5 : Ajouter une condition
Étant donné que le rôle Propriétaire est un rôle hautement privilégié, Microsoft vous recommande d’ajouter une condition pour limiter l’attribution de rôle.
Sous l’onglet Conditions, sous Ce que l’utilisateur peut faire, sélectionnez l’option Autoriser l’utilisateur à attribuer uniquement des rôles sélectionnés aux principaux sélectionnés (moins de privilèges).
Sélectionnez Sélectionner des rôles et des principaux.
La page Ajouter une condition d’attribution de rôle s’affiche avec une liste de modèles de condition.
Sélectionnez un modèle de condition, puis sélectionnez Configurer.
Modèle de condition Sélectionnez ce modèle pour Limiter les rôles Autoriser l’utilisateur à attribuer uniquement des rôles que vous sélectionnez Limiter les rôles et les types principaux Autoriser l’utilisateur à attribuer uniquement des rôles que vous sélectionnez
Autoriser l’utilisateur à attribuer uniquement ces rôles aux types principaux que vous sélectionnez (utilisateurs, groupes ou principaux de service)Limiter les rôles et les principaux Autoriser l’utilisateur à attribuer uniquement des rôles que vous sélectionnez
Autoriser l’utilisateur à attribuer uniquement ces rôles aux principaux que vous sélectionnezConseil
Si vous souhaitez autoriser la plupart des attributions de rôles, mais n’autorisez pas d’attributions de rôles spécifiques, vous pouvez utiliser l’éditeur de condition avancé et ajouter manuellement une condition. Pour obtenir un exemple, consultez Exemple : Autoriser la plupart des rôles, mais n’autorisez pas d’autres utilisateurs à attribuer des rôles.
Dans le volet de configuration, ajoutez les configurations requises.
Sélectionnez Enregistrer pour ajouter la condition à l’attribution de rôle.
Étape 6 : Attribuer le rôle
Sous l’onglet Vérifier + attribuer, vérifiez les paramètres d’attribution de rôle.
Cliquez sur Vérifier + attribuer pour attribuer le rôle.
Après quelques instants, le rôle Propriétaire est attribué à l’utilisateur au niveau de l’abonnement.