Déléguer la gestion des attributions de rôle Azure à d’autres utilisateurs avec des conditions
En tant qu’administrateur, vous pouvez recevoir plusieurs demandes d’octroi d’accès à des ressources Azure que vous souhaitez déléguer à un autre utilisateur. Vous pouvez attribuer un utilisateur aux rôles Propriétaire ou Administrateur de l’accès utilisateur, mais il s’agit de rôles hautement privilégiés. Cet article décrit un moyen plus sûr de déléguer la gestion de l’attribution de rôles à d’autres utilisateurs de votre organisation, mais d’ajouter des restrictions pour ces attributions de rôles. Par exemple, vous pouvez limiter les rôles qui peuvent être attribués ou limiter les principaux auxquels les rôles peuvent être attribués.
Le diagramme suivant présente comment un délégué avec des conditions ne peut attribuer les rôles de contributeur de sauvegarde ou de lecteur de sauvegarde qu’aux groupes Marketing ou Ventes.
Prérequis
Pour attribuer des rôles Azure, vous devez disposer de :
- Autorisations
Microsoft.Authorization/roleAssignments/write
, comme Administrateur de contrôle d’accès en fonction du rôle ou Administrateur d’accès utilisateur
Étape 1 : Déterminer les autorisations dont le délégué a besoin
Pour déterminer les autorisations dont le délégué a besoin, répondez aux questions suivantes :
- Quels rôles le délégué peut-il attribuer ?
- À quels types de principaux le délégué peut-il attribuer des rôles ?
- À quels principaux le délégué peut-il attribuer des rôles ?
- Le délégué peut-il supprimer des attributions de rôle ?
Une fois que vous connaissez les autorisations dont le délégué a besoin, vous utilisez les étapes suivantes pour ajouter une condition à l’attribution de rôle du délégué. Pour des exemples concernant les conditions, consultez Exemples de délégation de la gestion de l’attribution de rôles Azure avec des conditions.
Étape 2 : Démarrer une nouvelle attribution de rôle
Connectez-vous au portail Azure.
Suivez les étapes pour ouvrir la page Ajouter une attribution de rôle.
Sous l’onglet Rôles, sélectionnez l’onglet Rôles d’administrateur privilégié.
Sélectionnez le rôle Administrateur du contrôle d’accès basé sur les rôles.
L’onglet Conditions s’affiche.
Vous pouvez sélectionner n’importe quel rôle qui inclut les actions
Microsoft.Authorization/roleAssignments/write
ouMicrosoft.Authorization/roleAssignments/delete
, tel que Administrateur d’accès utilisateur, mais Administrateur de contrôle d’accès basé sur le rôle a moins d’autorisations.Sous l’onglet Membres, recherchez et sélectionnez le délégué.
Étape 3 : Ajouter une condition
Il existe deux façons d’ajouter une condition. Vous pouvez utiliser un modèle de condition ou utiliser un éditeur de condition avancé.
Sous l’onglet Conditions sous Ce que l’utilisateur peut faire, sélectionnez l’option Autoriser l’utilisateur à attribuer uniquement des rôles sélectionnés à des principaux sélectionnés (moins de privilèges).
Sélectionnez Sélectionner des rôles et des principaux.
La page Ajouter une condition d’attribution de rôle s’affiche avec une liste de modèles de conditions.
Sélectionnez un modèle de condition, puis sélectionnez Configurer.
Modèle de conditions Sélectionnez ce modèle pour Limiter les rôles Autoriser l’utilisateur à n’attribuer que les rôles que vous sélectionnez Limiter les rôles et les types principaux Autoriser l’utilisateur à n’attribuer que les rôles que vous sélectionnez
Autoriser l’utilisateur à attribuer uniquement ces rôles aux types de principaux que vous sélectionnez (utilisateurs, groupes ou principaux de service)Limiter les rôles et les principaux Autoriser l’utilisateur à n’attribuer que les rôles que vous sélectionnez
Autoriser l’utilisateur à n’attribuer ces rôles qu’aux principaux que vous sélectionnezAutoriser tous les rôles à l’exception de rôles spécifiques Autoriser l’utilisateur à attribuer tous les rôles à l’exception des rôles que vous sélectionnez Dans le volet Configurer, ajoutez les configurations requises.
Sélectionnez Enregistrer pour ajouter la condition à l’attribution de rôle.
Étape 4 : Attribuer un rôle avec condition au délégué
Sous l’onglet Vérifier + attribuer, vérifiez les paramètres d’attribution de rôle.
Sélectionnez Vérifier + attribuer pour attribuer le rôle.
Après quelques instants, le délégué reçoit le rôle Administrateur de contrôle d’accès en fonction du rôle avec vos conditions d’attribution de rôle.
Étape 5 : Le délégué attribue des rôles avec des conditions
Le délégué peut désormais suivre les étapes permettant d’attribuer des rôles.
Lorsque le délégué tente d’attribuer des rôles dans le portail Azure, la liste des rôles est filtrée pour afficher simplement les rôles qu’ils peuvent attribuer.
S’il existe une condition pour les principaux, la liste des principaux disponibles pour l’affectation est également filtrée.
Si le délégué tente d’attribuer un rôle qui se trouve en dehors des conditions à l’aide d’une API, l’attribution de rôle échoue en affichant un message d’erreur. Pour plus d’informations, consultez Symptôme – Impossible d’attribuer un rôle.
Modifier une condition
Vous pouvez modifier une condition de deux manières différentes. Vous pouvez utiliser le modèle de condition ou utiliser l’éditeur de condition.
Dans le portail Azure, ouvrez la page Contrôle d’accès (IAM) pour l’attribution de rôle qui a une condition que vous voulez afficher, modifier ou supprimer.
Sélectionnez l’onglet Attributions de rôle et recherchez l’attribution de rôle.
Dans la colonne Condition, sélectionnez Afficher/Modifier.
Si vous ne voyez pas le lien Afficher/Modifier, vérifiez que vous examinez la même étendue que celle de l’attribution de rôle.
La page Ajouter une condition d’attribution de rôle s’affiche. Cette page est différente selon que la condition correspond à un modèle existant.
Si la condition correspond à un modèle existant, sélectionnez Configurer pour modifier la condition.
Si la condition ne correspond pas à un modèle existant, utilisez l’éditeur de condition avancé pour modifier la condition.
Par exemple, pour modifier une condition, faites défiler vers le bas jusqu’à la section de l’expression de génération et mettez à jour les attributs, l’opérateur ou les valeurs.
Pour modifier directement la condition, sélectionnez le type d’éditeur Code, puis modifiez le code de la condition.
Lorsque vous avez terminé, cliquez sur Enregistrer pour mettre à jour la condition.