Autoriser les utilisateurs non propriétaires à déployer Avere vFXT

Ces instructions sont une solution de contournement qui permet à un utilisateur n’ayant pas les privilèges de propriétaire sur l’abonnement de créer un système Avere vFXT pour Azure.

(La méthode recommandée pour déployer le système Avere vFXT est d’octroyer les privilèges de propriétaire à l’utilisateur chargé de la création du système, comme expliqué dans Étapes de préparation à la création d’un système Avere vFXT.)

La solution de contournement consiste à créer un rôle d’accès supplémentaire qui donne aux utilisateurs les autorisations nécessaires pour installer le cluster. Le rôle doit être créé par un propriétaire d’abonnement, et un propriétaire doit assigner le rôle aux utilisateurs appropriés.

Le propriétaire d’abonnement doit également accepter les conditions d’utilisation de l’image de la Place de marché Avere vFXT.

Important

Toutes ces étapes doivent être effectuées par un utilisateur qui a les privilèges de propriétaire sur l’abonnement utilisé pour le cluster.

1. Copiez ces lignes et enregistrez-les dans un fichier (par exemple, averecreatecluster.json). Spécifiez votre ID d’abonnement dans l’instruction AssignableScopes.

   {
       "AssignableScopes": ["/subscriptions/<SUBSCRIPTION_ID>"],
       "Name": "avere-create-cluster",
       "IsCustom": "true"
       "Description": "Can create Avere vFXT clusters",
       "NotActions": [],
       "Actions": [
           "Microsoft.Authorization/*/read",
           "Microsoft.Authorization/roleAssignments/*",
           "Microsoft.Authorization/roleDefinitions/*",
           "Microsoft.Compute/*/read",
           "Microsoft.Compute/availabilitySets/*",
           "Microsoft.Compute/virtualMachines/*",
           "Microsoft.Network/*/read",
           "Microsoft.Network/networkInterfaces/*",
           "Microsoft.Network/routeTables/write",
           "Microsoft.Network/routeTables/delete",
           "Microsoft.Network/routeTables/routes/delete",
           "Microsoft.Network/virtualNetworks/subnets/join/action",
           "Microsoft.Network/virtualNetworks/subnets/read",
   
           "Microsoft.Resources/subscriptions/resourceGroups/read",
           "Microsoft.Resources/subscriptions/resourceGroups/resources/read",
           "Microsoft.Storage/*/read",
           "Microsoft.Storage/storageAccounts/listKeys/action"
       ],
   }
   

2. Exécutez cette commande pour créer le rôle :

   az role definition create --role-definition <PATH_TO_FILE>

   Exemple :

   az role definition create --role-definition ./averecreatecluster.json
   

3. Assignez ce rôle à l’utilisateur chargé de créer le cluster :

   az role assignment create --assignee <USERNAME> --scope /subscriptions/<SUBSCRIPTION_ID> --role 'avere-create-cluster'

Une fois ce processus terminé, tout utilisateur qui reçoit ce rôle a les autorisations suivantes sur l’abonnement :

• Créer et configurer l’infrastructure réseau
• Créer le contrôleur de cluster
• Exécuter des scripts de création de cluster à partir du contrôleur de cluster pour créer le cluster