Partager via


Tutoriel : Créer un nouvel environnement à partir d’un exemple de blueprint

Important

Le 11 juillet 2026, Blueprints (préversion) sera devenu obsolète. Migrez vos définitions et affectations Blueprint existantes vers les Spécifications de modèleet lesPiles de déploiement. Les artefacts de Blueprint doivent être convertis en modèles ARM JSON ou en fichiers Bicep utilisés pour définir des piles de déploiement. Pour savoir comment créer un artefact en tant que ressource ARM, consultez :

Les exemples de blueprint illustrent ce qui est réalisable à l’aide d’Azure Blueprints. Chaque exemple a été conçu avec une intention ou un but spécifique, mais ne permet pas de créer un environnement complet à lui seul. Chacun d’eux est conçu comme base d’exploration d’Azure Blueprints avec diverses combinaisons d’artefacts, de conceptions et de paramètres.

Le tutoriel suivant utilise l’exemple de blueprint Groupes de ressources avec RBAC pour présenter différents aspects du service Azure Blueprints. Cet article contient les étapes suivantes :

  • Créer une définition de blueprint à partir de l’exemple
  • Marquer la copie de l’exemple en tant que Publié
  • Affecter votre copie du blueprint à un abonnement existant
  • Examiner les ressources déployées pour l’affectation
  • Annuler l’affectation du blueprint afin de retirer les verrous

Prérequis

Pour suivre ce tutoriel, il est nécessaire de disposer d’un abonnement Azure. Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

Créer une définition de blueprint à partir de l’exemple

Tout d’abord, implémentez l’exemple de blueprint. L’importation crée un nouveau blueprint dans votre environnement à partir de l’exemple.

  1. Sélectionnez Tous les services dans le volet gauche. Recherchez et sélectionnez Blueprints.

  2. Dans la page Démarrageà gauche, sélectionnez le bouton Créer sous Créer un blueprint.

  3. Recherchez l’exemple de blueprint Groupes de ressources avec RBAC sous Autres exemples, puis sélectionnez-le.

  4. Entrez les Fonctions de base de l’exemple de blueprint :

    • Nom du blueprint : Entrez le nom de votre copie de l’exemple de blueprint. Pour ce didacticiel, nous utiliserons le nom two-rgs-with-role-assignments.
    • Emplacement de la définition : Utilisez le bouton points de suspension et sélectionnez le groupe d’abonnement ou l’abonnement dans lequel enregistrer votre copie de l’exemple.
  5. Sélectionnez l’onglet Artefacts dans le haut de la page ou Suivant : Artefacts dans le bas de la page.

  6. Passez en revue la liste des artefacts qui composent l’exemple de blueprint. Cet exemple définit deux groupes de ressources, dont les noms d’affichage sont ProdRG et PreProdRG. Le nom final et l’emplacement de chaque groupe de ressources sont définis lors de l’assignation du blueprint. Le groupe de ressources ProdRG se voit attribuer le rôle Contributeur et le groupe de ressources PreProdRG se voit attribuer les rôles Propriétaire et Lecteurs. Les rôles affectés dans la définition sont statiques, mais l’utilisateur, l’application ou le groupe auquel le rôle est affecté est défini pendant l’affectation du blueprint.

  7. Sélectionnez Enregistrer comme brouillon lorsque vous avez terminé de passer en revue l’exemple de blueprint.

Cette étape crée une copie de l’exemple de définition de blueprint dans le groupe d’administration ou l’abonnement sélectionné. La définition de blueprint enregistrée est gérée comme n’importe quel blueprint créé à partir de zéro. Vous pouvez enregistrer l’exemple dans votre groupe d’administration ou votre abonnement autant de fois que nécessaire. Toutefois, chaque copie doit porter un nom unique.

Dès que la notification Définition de blueprint enregistrée apparaît dans le portail, passez à l’étape suivante.

Publier la copie de l’exemple

Votre copie de l’exemple de blueprint est à présent créée dans votre environnement. Elle est créée en mode Brouillon et doit être publiée avant de pouvoir être attribuée et déployée. La copie de l’exemple de blueprint peut être personnalisée en fonction de votre environnement et de vos besoins. Pour ce didacticiel, nous n’apporterons aucune modification.

  1. Sélectionnez Tous les services dans le volet gauche. Recherchez et sélectionnez Blueprints.

  2. Sélectionnez la page Définitions de blueprint à gauche. Utilisez les filtres pour trouver la définition de blueprint two-rgs-with-role-assignments, puis sélectionnez celle-ci.

  3. Sélectionnez Publier le blueprint dans le haut de la page. Dans le nouveau volet à droite, définissez la Version de votre copie d’exemple de blueprint sur 1.0. Cette propriété est utile si vous prévoyez d’effectuer une modification ultérieurement. Dans Notes de changement, indiquez par exemple « Première version publiée à partir de l’exemple de blueprint de groupes de ressources avec RBAC », puis sélectionnez Publier au bas de la page.

Cette étape permet d’affecter le plan à un abonnement. Après publication, des modifications sont toujours possibles. Les modifications supplémentaires nécessitent la publication avec une nouvelle valeur de Version afin de suivre les différences entre les versions différentes d’une même définition de blueprint.

Dès que la notification Définition de blueprint publiée apparaît dans le portail, passez à l’étape suivante.

Affecter la copie de l’exemple

Une fois que la copie de l’exemple de blueprint a été publiée, elle peut être affectée à un abonnement dans le groupe d’administration où elle a été enregistrée. C’est à cette étape que les paramètres sont fournis pour que chaque déploiement de la copie de l’exemple de blueprint soit unique.

  1. Sélectionnez Tous les services dans le volet gauche. Recherchez et sélectionnez Blueprints.

  2. Sélectionnez la page Définitions de blueprint à gauche. Utilisez les filtres pour trouver la définition de blueprint two-rgs-with-role-assignments, puis sélectionnez celle-ci.

  3. Sélectionnez Affecter le blueprint dans le haut de la page.

  4. Indiquez les valeurs des paramètres pour l’affectation du blueprint :

    • Concepts de base

      • Abonnements : Sélectionnez un ou plusieurs des abonnements qui font partie du groupe d’administration où vous avez enregistré votre copie de l’exemple de blueprint. Si vous sélectionnez plusieurs abonnements, une affectation est créée pour chacun d’eux à l’aide des paramètres saisis.
      • Nom de l’affectation : Le nom est prérempli automatiquement en fonction du nom de la définition du blueprint.
      • Emplacement : Sélectionnez une région dans laquelle créer l’identité managée. Azure Blueprints utilise cette identité managée pour déployer tous les artefacts figurant dans le blueprint attribué. Pour en savoir plus, consultez Identités managées pour les ressources Azure. Pour ce didacticiel, sélectionnez USA Est 2.
      • Version de définition du blueprint : Choisissez la version Published1.0 de votre copie de l’exemple de blueprint.
    • Verrouiller l'affectation

      Sélectionnez le mode de verrouillage Lecture seule. Pour plus d’informations, consultez Verrouillage des ressources des blueprints.

    • Identité managée

      Conservez l’option par défaut, Affecté(e) par le système. Pour plus d’informations, voir Identités managées.

    • Paramètres d'artefact

      Les paramètres définis dans cette section s’appliquent à l’artefact sous lequel elle est définie. Ces paramètres sont des paramètres dynamiques puisqu’ils sont définis lors de l’affectation du blueprint. Pour chaque artefact, définissez la valeur du paramètre en vous référant à la colonne Valeur. Pour {Your ID}, sélectionnez votre compte d’utilisateur Azure.

      Nom de l’artefact Type d’artefact Nom du paramètre Valeur Description
      Groupe de ressources ProdRG Resource group Nom ProductionRG Définit le nom du premier groupe de ressources.
      Groupe de ressources ProdRG Resource group Emplacement USA Ouest 2 Définit l’emplacement du premier groupe de ressources.
      Contributeur Attribution de rôle Utilisateur ou groupe {Votre ID} Définit l’utilisateur ou le groupe auquel attribuer le rôle Contributeur dans le premier groupe de ressources.
      Groupe de ressources PreProdRG Resource group Nom PreProductionRG Définit le nom du deuxième groupe de ressources.
      Groupe de ressources PreProdRG Resource group Emplacement USA Ouest Définit l’emplacement du deuxième groupe de ressources.
      Propriétaire Attribution de rôle Utilisateur ou groupe {Votre ID} Définit l’utilisateur ou le groupe auquel attribuer le rôle Propriétaire dans le deuxième groupe de ressources.
      Lecteurs Attribution de rôle Utilisateur ou groupe {Votre ID} Définit l’utilisateur ou le groupe auquel attribuer le rôle Lecteurs dans le deuxième groupe de ressources.
  5. Une fois tous les paramètres entrés, sélectionnez Affecter au bas de la page.

Cette étape déploie les ressources définies et configure l’option Verrouiller l’affectation sélectionnée. L’application des verrous de blueprint peut prendre jusqu’à 30 minutes.

Dès que la notification Définition de blueprint affectée apparaît dans le portail, passez à l’étape suivante.

Examiner les ressources déployées par l’affectation

L’affectation du blueprint crée et suit les artefacts définis dans la définition du blueprint. L’état des ressources est visible dans la page de l’affectation du blueprint ou examinant celles-ci directement.

  1. Sélectionnez Tous les services dans le volet gauche. Recherchez et sélectionnez Blueprints.

  2. Sélectionnez la page Blueprints affectés à gauche. Utilisez les filtres pour trouver l’affectation du blueprint Assignment-two-rgs-with-role-assignments, puis sélectionnez celle-ci.

    Cette page répertorie l’affectation réussie, les ressources créées ainsi que l’état de verrouillage de blueprint qui leur est associé. Si l’affectation est mise à jour, la liste déroulante Opération d’affectation affiche des détails sur le déploiement de chaque version de définition. Chaque ressource répertoriée qui a été créée peut être sélectionnée, ce qui ouvre la page de propriétés associée.

  3. Sélectionnez le groupe de ressources ProductionRG.

    Le nom du groupe de ressources est ProductionRG et non le nom de l’artefact, ProdRG. Ce nom correspond à la valeur définie lors de l’attribution de blueprint.

  4. Sélectionnez la page Contrôle d’accès (IAM) à gauche, puis l’onglet Attributions de rôles.

    Ici, nous voyons que votre compte a reçu le rôle Contributeur sur la portée de Cette ressource. L’affectation du blueprint Assignment-two-rgs-with-role-assignments possède le rôle Propriétaire, qui a été utilisé pour créer le groupe de ressources. Ces autorisations permettent également de gérer les ressources avec des verrous configurés.

  5. Dans la barre de navigation du portail Azure, sélectionnez Assignment-two-rgs-with-role-assignments pour retourner à une page précédente, puis sélectionnez le groupe de ressources PreProductionRG.

  6. Sélectionnez la page Contrôle d’accès (IAM) à gauche, puis l’onglet Attributions de rôles.

    Ici, nous voyons que votre compte a reçu les rôles Contributeur et Lecteur sur la portée de Cette ressource. Comme le premier groupe de ressources, l’affectation du blueprint possède aussi le rôle Propriétaire.

  7. Sélectionnez l’onglet Affectations de refus.

    L’affectation du blueprint a créé une instance Refuser l’affectation sur le groupe de ressources déployé pour appliquer le mode Lecture seule de verrouillage du blueprint. Cette affectation de refus empêche un utilisateur disposant de droits appropriés dans l’onglet Attributions de rôle d’effectuer des actions particulières. L’affectation de refus concerne Tous les principaux.

  8. Sélectionnez l’affectation de refus, puis la page Autorisations refusées à gauche.

    L’affectation de refus empêche toutes les opérations avec la configuration * et Action, mais autorise l’accès en lecture en excluant */read via NotActions.

  9. Dans la barre de navigation du portail Azure, sélectionnez PreProductionRG - Contrôle d’accès (IAM) . Sélectionnez ensuite la page Vue d’ensemble à gauche, puis le bouton Supprimer le groupe de ressources. Entrez le nom PreProductionRG pour confirmer la suppression et sélectionnez Supprimer dans le bas du volet.

    Le message de notification du portail Échec de la suppression du groupe de ressources PreProductionRG apparaît alors. L’erreur indique que, même si votre compte est autorisé à supprimer le groupe de ressources, l’accès est refusé par l’affectation du blueprint. N’oubliez pas que nous avons sélectionné le mode Lecture seule de verrouillage du blueprint pendant l’affectation du blueprint. Le verrou de blueprint empêche un compte disposant d’autorisations, y compris Propriétaire, de supprimer la ressource. Pour plus d’informations, consultez Verrouillage des ressources des blueprints.

Ces étapes montrent que nos ressources ont été créées conformément à la définition et que les verrous du blueprint ont empêché la suppression non souhaitée, même à partir d’un compte disposant d’autorisations.

Annuler l’affectation du blueprint

La dernière étape consiste à supprimer l’affectation du blueprint et des ressources qu'il a déployées. Le fait de supprimer l’affectation ne supprime pas les artefacts déployés.

  1. Sélectionnez Tous les services dans le volet gauche. Recherchez et sélectionnez Blueprints.

  2. Sélectionnez la page Blueprints affectés à gauche. Utilisez les filtres pour trouver l’affectation du blueprint Assignment-two-rgs-with-role-assignments, puis sélectionnez celle-ci.

  3. Sélectionnez le bouton Annuler l’affectation du blueprint en haut de la page. Lisez l’avertissement dans la boîte de dialogue de confirmation, puis sélectionnez OK.

    La suppression du blueprint entraîne la suppression des verrous de celui-ci. Les ressources créées peuvent à nouveau être supprimées par un compte disposant d’autorisations.

  4. Sélectionnez Groupes de ressources dans le menu Azure, puis sélectionnez ProductionRG.

  5. Sélectionnez la page Contrôle d’accès (IAM) à gauche, puis l’onglet Attributions de rôles.

Du point de vue de la sécurité, les affectations de rôles restent déployées pour chaque groupe de ressources, mais l’affectation du blueprint n’a plus d’accès Propriétaire.

Dès que la notification Affectation de blueprint supprimée apparaît dans le portail, passez à l’étape suivante.

Nettoyer les ressources

Une fois le didacticiel terminé, supprimez les ressources suivantes :

  • Groupe de ressources ProductionRG
  • Groupe de ressources PreProductionRG
  • Définition de blueprint two-rgs-with-role-assignments

Étapes suivantes

Dans ce tutoriel, vous avez appris à créer un blueprint à partir d’un exemple de définition. Pour plus d’informations sur Azure Blueprints, consultez l’article concernant le cycle de vie des blueprints.