Partage via


Contrôle d’accès en fonction du rôle Azure dans Azure Lab Services

Azure Lab Services fournit un contrôle d’accès en fonction du rôle Azure intégré (Azure RBAC) pour les scénarios de gestion courants dans Azure Lab Services. Une personne disposant d’un profil dans Microsoft Entra ID peut attribuer ces rôles Azure aux utilisateurs, groupes, principaux de service ou identités managées pour accorder ou refuser l’accès aux ressources et aux opérations sur les ressources Azure Lab Services. Cet article décrit les différents rôles intégrés pris en charge par Azure Lab Services.

Le contrôle d’accès en fonction du rôle (RBAC) Azure est un système d’autorisation basé sur Azure Resource Manager, qui permet une gestion précise des accès des ressources Azure.

Azure RBAC spécifie les définitions de rôle intégrées qui décrivent les autorisations à appliquer. Vous affectez un utilisateur ou un groupe à cette définition de rôle via une attribution de rôle pour une étendue particulière. L’étendue peut être une ressource spécifique, un groupe de ressources ou l’ensemble de l’abonnement. Dans la section suivante, vous allez découvrir les rôles intégrés pris en charge par Azure Lab Services.

Pour plus d’informations, consultez Qu’est-ce que le contrôle d’accès en fonction du rôle Azure (Azure RBAC) ?

Remarque

Lorsque vous apportez des modifications d’attribution de rôle, la propagation de ces mises à jour peut prendre quelques minutes.

Rôles intégrés

Dans cet article, les rôles intégrés Azure sont regroupés logiquement en deux types de rôles, en fonction de leur étendue d’influence :

  • rôles Administration istrateur : influencer les autorisations pour les plans de laboratoire et les labos
  • Rôles de gestion de laboratoire : influencer les autorisations pour les laboratoires

Voici les rôles intégrés pris en charge par Azure Lab Services :

Type de rôle Rôle intégré Description
Administrateur Propriétaire Accordez un contrôle total pour créer/gérer des plans de laboratoire et des labos, et accordez des autorisations à d’autres utilisateurs. En savoir plus sur le rôle Propriétaire.
Administrateur Contributeur Accordez un contrôle total pour créer/gérer des plans de laboratoire et des labos, à l’exception de l’attribution de rôles à d’autres utilisateurs. En savoir plus sur le rôle Contributeur.
Administrateur Contributeur de Services Lab Accordez les mêmes autorisations que le rôle Propriétaire, à l’exception de l’attribution de rôles. En savoir plus sur le rôle Contributeur Lab Services.
Gestion des laboratoires Créateur Lab Accordez l’autorisation de créer des laboratoires et contrôlez complètement les laboratoires qu’ils créent. En savoir plus sur le rôle Créateur de laboratoire.
Gestion des laboratoires Contributeur Lab Accordez l’autorisation de gérer un laboratoire existant, mais ne créez pas de laboratoires. En savoir plus sur le rôle Contributeur de laboratoire.
Gestion des laboratoires Assistant Lab Accordez l’autorisation d’afficher un laboratoire existant. Peut également démarrer, arrêter ou réimager n’importe quelle machine virtuelle dans le labo. En savoir plus sur le rôle Assistant Lab.
Gestion des laboratoires Lecteur de Services Lab Accordez l’autorisation d’afficher les laboratoires existants. En savoir plus sur le rôle Lecteur Lab Services.

Étendue de l’attribution de rôle

Dans Azure RBAC, l’étendue est l’ensemble de ressources auxquelles l’accès s’applique. Lorsque vous attribuez un rôle, il est important de comprendre l’étendue afin que vous accordiez uniquement l’accès nécessaire.

Dans Azure, vous pouvez spécifier une étendue à quatre niveaux : groupe d’administration, abonnement, groupe de ressources et ressource. Les étendues sont structurées dans une relation parent-enfant. Chaque niveau de hiérarchie rend l’étendue plus spécifique. Vous pouvez attribuer des rôles à n’importe de ces niveaux d’étendue. Le niveau que vous sélectionnez détermine la portée d’application du rôle. Les niveaux inférieurs héritent des autorisations de rôle des niveaux supérieurs. En savoir plus sur l’étendue du RBAC Azure.

Pour Azure Lab Services, tenez compte des étendues suivantes :

Étendue Description
Abonnement Permet de gérer la facturation et la sécurité de toutes les ressources et services Azure. En règle générale, seuls les administrateurs disposent d’un accès au niveau de l’abonnement, car cette attribution de rôle accorde l’accès à toutes les ressources de l’abonnement.
Resource group Conteneur logique pour regrouper des ressources. L’attribution de rôle pour le groupe de ressources accorde l’autorisation au groupe de ressources et à toutes les ressources qu’il contient, telles que les laboratoires et les plans de laboratoire.
Plan de labo Ressource Azure utilisée pour appliquer des paramètres de configuration courants lorsque vous créez un laboratoire. L’attribution de rôle pour le plan lab accorde uniquement l’autorisation à un plan de laboratoire spécifique.
Laboratoire Ressource Azure utilisée pour appliquer des paramètres de configuration courants pour la création et l’exécution de machines virtuelles lab. L’attribution de rôle pour le labo accorde l’autorisation uniquement à un laboratoire spécifique.

Diagram that shows the role assignment scopes for Azure Lab Services.

Important

Dans Azure Lab Services, les plans de laboratoire et les laboratoires sont des ressources frères les unes des autres. Par conséquent, les laboratoires n’héritent pas des attributions de rôles du plan de laboratoire. Toutefois, les attributions de rôles du groupe de ressources sont héritées par les plans de laboratoire et les laboratoires de ce groupe de ressources.

Rôles pour les activités courantes du labo

Le tableau suivant présente les activités courantes du labo et le rôle nécessaire pour qu’un utilisateur effectue cette activité.

Activité Type de rôle Rôle Étendue
Accordez l’autorisation de créer un groupe de ressources. Un groupe de ressources est un conteneur logique dans Azure pour contenir les plans de laboratoire et les labos. Avant de pouvoir créer un plan de laboratoire ou un labo, ce groupe de ressources doit exister. Administrateur Propriétaire ou Contributeur Abonnement
Accordez l’autorisation d’envoyer un ticket de support Microsoft, notamment pour demander la capacité. Administrateur Propriétaire, Contributeur, Contributeur demande de support Abonnement
Accordez l’autorisation à :
- Attribuer des rôles à d’autres utilisateurs.
- Créer/gérer des plans de laboratoire, des labos et d’autres ressources au sein du groupe de ressources.
- Activer/désactiver la Place de marché et les images personnalisées sur un plan lab.
- Attacher/détacher la galerie de calcul sur un plan lab.
Administrateur Propriétaire Resource group
Accordez l’autorisation à :
- Créer/gérer des plans de laboratoire, des labos et d’autres ressources au sein du groupe de ressources.
- Activer ou désactiver des images Place de marché Azure et personnalisées sur un plan lab.

Toutefois, pas la possibilité d’attribuer des rôles à d’autres utilisateurs.
Administrateur Contributeur Resource group
Accordez l’autorisation de créer ou de gérer vos propres laboratoires pour tous les plans de laboratoire au sein d’un groupe de ressources. Gestion des laboratoires Créateur Lab Resource group
Accordez l’autorisation de créer ou de gérer vos propres laboratoires pour un plan de laboratoire spécifique. Gestion des laboratoires Créateur Lab Plan de labo
Accordez l’autorisation de co-gérer un laboratoire, mais pas la possibilité de créer des labos. Gestion des laboratoires Contributeur Lab Laboratoire
Accordez l’autorisation de démarrer/arrêter/de réimager des machines virtuelles pour tous les laboratoires au sein d’un groupe de ressources. Gestion des laboratoires Assistant Lab Resource group
Accordez l’autorisation de démarrer/arrêter/de réimager des machines virtuelles pour un laboratoire spécifique. Gestion des laboratoires Assistant Lab Laboratoire

Important

L’abonnement d’une organisation est utilisé pour gérer la facturation et la sécurité de toutes les ressources et services Azure. Vous pouvez attribuer le rôle Propriétaire ou Contributeur sur l’abonnement. En règle générale, seuls les administrateurs disposent d’un accès au niveau de l’abonnement, car cela inclut un accès complet à toutes les ressources de l’abonnement.

Rôles Administrateur

Pour accorder aux utilisateurs l’autorisation de gérer Azure Lab Services au sein de l’abonnement de votre organisation, vous devez leur attribuer le rôle Propriétaire, Contributeur ou Contributeur Lab Services.

Attribuez ces rôles sur le groupe de ressources. Les plans de laboratoire et les labos au sein du groupe de ressources héritent de ces attributions de rôles.

Diagram that shows the resource hierarchy and the three administrator roles, assigned to the resource group.

Le tableau suivant compare les différents rôles d’administrateur lorsqu’ils sont affectés sur le groupe de ressources.

Plan de laboratoire/Lab Activité Propriétaire Contributeur Contributeur de Services Lab
Plan de labo Afficher tous les plans de laboratoire dans le groupe de ressources Oui Oui Oui
Plan de labo Créer, modifier ou supprimer tous les plans de laboratoire dans le groupe de ressources Oui Oui Oui
Plan de labo Attribuer des rôles à des plans lab au sein du groupe de ressources Oui Non No
Laboratoire Créer des laboratoires dans le groupe de ressources** Oui Oui Oui
Laboratoire Afficher les laboratoires d’autres utilisateurs au sein du groupe de ressources Oui Oui Oui
Laboratoire Modifier ou supprimer des laboratoires d’autres utilisateurs au sein du groupe de ressources Oui Oui No
Laboratoire Attribuer des rôles aux laboratoires d’autres utilisateurs au sein du groupe de ressources Oui Non No

** Les utilisateurs reçoivent automatiquement l’autorisation d’afficher, de modifier les paramètres, de supprimer et d’attribuer des rôles pour les labos qu’ils créent.

Rôle de propriétaire

Attribuez le rôle Propriétaire pour donner à un utilisateur un contrôle total pour créer ou gérer des plans de laboratoire et des labos, et accorder des autorisations à d’autres utilisateurs. Lorsqu’un utilisateur a le rôle Propriétaire sur le groupe de ressources, il peut effectuer les activités suivantes sur toutes les ressources du groupe de ressources :

  • Attribuez des rôles aux administrateurs afin qu’ils puissent gérer les ressources associées au laboratoire.
  • Attribuez des rôles aux gestionnaires de laboratoires afin qu’ils puissent créer et gérer des laboratoires.
  • Créez des plans de laboratoire et des labos.
  • Affichez, supprimez et modifiez les paramètres de tous les plans de laboratoire, notamment l’attachement ou le détachement de la galerie de calcul et l’activation ou la désactivation de Place de marché Azure et d’images personnalisées sur les plans de laboratoire.
  • Affichez, supprimez et modifiez les paramètres de tous les laboratoires.

Attention

Lorsque vous attribuez le rôle Propriétaire ou Contributeur sur le groupe de ressources, ces autorisations s’appliquent également aux ressources non liées au labo qui existent dans le groupe de ressources. Par exemple, les ressources telles que les réseaux virtuels, les comptes de stockage, les galeries de calcul, etc.

Rôle Contributeur

Attribuez le rôle Contributeur pour donner à un utilisateur un contrôle total pour créer ou gérer des plans de laboratoire et des labos au sein d’un groupe de ressources. Le rôle Contributeur dispose des mêmes autorisations que le rôle Propriétaire, à l’exception des suivants :

  • Exécution d’attributions de rôles

Rôle Contributeur Lab Services

Le contributeur Lab Services est le plus restrictif des rôles d’administrateur. Attribuez le rôle Contributeur Lab Services pour activer les mêmes activités que le rôle Propriétaire, à l’exception des suivants :

  • Exécution d’attributions de rôles
  • Modification ou suppression des laboratoires d’autres utilisateurs

Remarque

Le rôle Contributeur Lab Services n’autorise pas les modifications apportées aux ressources qui ne sont pas liées à Azure Lab Services. En revanche, le rôle Contributeur autorise les modifications apportées à toutes les ressources Azure au sein du groupe de ressources.

Rôles de gestion de laboratoire

Utilisez les rôles suivants pour accorder aux utilisateurs des autorisations pour créer et gérer des laboratoires :

  • Créateur Lab
  • Contributeur Lab
  • Assistant Lab
  • Lecteur de Services Lab

Ces rôles de gestion de labo accordent uniquement l’autorisation d’afficher les plans de laboratoire. Ces rôles n’autorisent pas la création, la modification, la suppression ou l’attribution de rôles à des plans de laboratoire. En outre, les utilisateurs disposant de ces rôles ne peuvent pas attacher ou détacher une galerie de calcul et activer ou désactiver des images de machine virtuelle.

Rôle Créateur de laboratoire

Attribuez le rôle Créateur de laboratoire pour accorder à un utilisateur l’autorisation de créer des labos et contrôlez complètement les laboratoires qu’ils créent. Par exemple, ils peuvent modifier les paramètres de leurs laboratoires, supprimer leurs laboratoires et même accorder à d’autres utilisateurs l’autorisation de leurs laboratoires.

Attribuez le rôle Créateur de laboratoire sur le groupe de ressources ou le plan lab.

Diagram that shows the resource hierarchy and the Lab Creator role, assigned to the resource group and lab plan.

Le tableau suivant compare l’attribution de rôle Créateur de laboratoire pour le groupe de ressources ou le plan lab.

Activité Resource group Plan de labo
Créer des laboratoires dans le groupe de ressources** Oui Oui
Afficher les laboratoires qu’ils ont créés Oui Oui
Afficher les laboratoires d’autres utilisateurs au sein du groupe de ressources Oui No
Modifier ou supprimer des laboratoires créés par l’utilisateur Oui Oui
Modifier ou supprimer des laboratoires d’autres utilisateurs au sein du groupe de ressources No No
Attribuer des rôles aux laboratoires d’autres utilisateurs au sein du groupe de ressources No No

** Les utilisateurs reçoivent automatiquement l’autorisation d’afficher, de modifier les paramètres, de supprimer et d’attribuer des rôles pour les labos qu’ils créent.

Rôle Contributeur de laboratoire

Attribuez le rôle Contributeur de laboratoire pour accorder à un utilisateur l’autorisation de gérer un labo existant.

Attribuez le rôle Contributeur de laboratoire sur le labo.

Diagram that shows the resource hierarchy and the Lab Contributor role, assigned to the lab.

Lorsque vous attribuez le rôle Contributeur de laboratoire sur le labo, l’utilisateur peut gérer le labo affecté. Plus précisément, l’utilisateur :

  • Peut afficher, modifier tous les paramètres ou supprimer le labo affecté.
  • L’utilisateur ne peut pas afficher les laboratoires d’autres utilisateurs.
  • Impossible de créer de nouveaux laboratoires.

Rôle Assistant Lab

Attribuez le rôle Assistant Lab pour accorder à un utilisateur l’autorisation d’afficher un labo, puis démarrez, arrêtez et réimagez des machines virtuelles de laboratoire pour le labo.

Attribuez le rôle Assistant Lab sur le groupe de ressources ou le labo.

Diagram that shows the resource hierarchy and the Lab Assistant role, assigned to the resource group and lab.

Lorsque vous attribuez le rôle Assistant Lab sur le groupe de ressources, l’utilisateur :

  • Peut afficher tous les laboratoires au sein du groupe de ressources et démarrer, arrêter ou réimager des machines virtuelles de laboratoire pour chaque laboratoire.
  • Impossible de supprimer ou d’apporter d’autres modifications aux laboratoires.

Lorsque vous attribuez le rôle Assistant Lab sur le labo, l’utilisateur :

  • Peut afficher le labo affecté et démarrer, arrêter ou réimager des machines virtuelles de laboratoire.
  • Impossible de supprimer ou d’apporter d’autres modifications au labo.
  • Impossible de créer de nouveaux laboratoires.

Lorsque vous avez le rôle Assistant Lab, pour afficher les autres laboratoires auxquels vous avez accès, veillez à choisir le filtre Tous les labos dans le site web Azure Lab Services.

Rôle Lecteur Lab Services

Attribuez le rôle Lecteur Lab Services pour accorder une vue d’autorisation utilisateur aux laboratoires existants. L’utilisateur ne peut apporter aucune modification aux laboratoires existants.

Attribuez le rôle Lecteur Lab Services sur le groupe de ressources ou le labo.

Diagram that shows the resource hierarchy and the Lab Services Reader role, assigned to the resource group and lab.

Lorsque vous attribuez le rôle Lecteur Lab Services sur le groupe de ressources, l’utilisateur peut :

  • Affichez tous les labos au sein du groupe de ressources.

Lorsque vous attribuez le rôle Lecteur Lab Services sur le labo, l’utilisateur peut :

  • Affichez uniquement le labo spécifique.

Gestion des identités et des accès

La page Contrôle d’accès (IAM) du Portail Azure est utilisée pour configurer le contrôle d’accès en fonction du rôle Azure sur les ressources Azure Lab Services. Vous pouvez utiliser des rôles intégrés pour les individus et les groupes dans Active Directory. La capture d’écran suivante montre l’intégration Active Directory (Azure RBAC) à l’aide du contrôle d’accès (IAM) dans le Portail Microsoft Azure :

Screenshot that shows the Access Control page in the Azure portal to manage role assignments.

Pour connaître les étapes détaillées, consultez Attribuer des rôles Azure à l’aide du portail Azure.

Structure de plan de groupe de ressources et de laboratoire

Votre organisation doit investir du temps avant de planifier la structure des groupes de ressources et des plans de laboratoire. Cela est particulièrement important lorsque vous affectez des rôles sur le groupe de ressources, car il applique également des autorisations à toutes les ressources du groupe de ressources.

Pour vous assurer que les utilisateurs sont autorisés uniquement aux ressources appropriées :

  • Créez des groupes de ressources qui contiennent uniquement des ressources liées au laboratoire.

  • Organisez les plans de laboratoire et les labos en groupes de ressources distincts en fonction des utilisateurs qui doivent avoir accès.

Par exemple, vous pouvez créer des groupes de ressources distincts pour différents services afin d’isoler les ressources de laboratoire de chaque service. Les créateurs de laboratoires d’un service peuvent ensuite disposer d’autorisations sur le groupe de ressources, ce qui leur accorde uniquement l’accès aux ressources du laboratoire de leur service.

Important

Planifiez la structure du groupe de ressources et du plan de laboratoire en amont, car il n’est pas possible de déplacer des plans de laboratoire ou des labos vers un autre groupe de ressources une fois qu’ils ont été créés.

Accès à plusieurs groupes de ressources

Vous pouvez accorder aux utilisateurs l’accès à plusieurs groupes de ressources. Sur le site web Azure Lab Services, l’utilisateur peut ensuite choisir dans la liste des groupes de ressources pour afficher ses laboratoires.

Screenshot that shows how to choose between resource groups in the Azure Lab Services website.

Accès à plusieurs plans de laboratoire

Vous pouvez accorder aux utilisateurs l’accès à plusieurs plans de laboratoire. Par exemple, lorsque vous affectez le rôle Créateur de laboratoire à un utilisateur sur un groupe de ressources qui contient plusieurs plans de laboratoire. L’utilisateur peut ensuite choisir dans la liste des plans de laboratoire lors de la création d’un laboratoire.

Screenshot that shows how to choose between lab plans when creating a lab in the Azure Lab Services website.

Étapes suivantes