Déléguer la gestion des attributions de rôle Azure à d’autres utilisateurs avec des conditions

En tant qu’administrateur, vous pouvez recevoir plusieurs demandes d’octroi d’accès à des ressources Azure que vous souhaitez déléguer à un autre utilisateur. Vous pouvez attribuer un utilisateur aux rôles Propriétaire ou Administrateur de l’accès utilisateur, mais il s’agit de rôles hautement privilégiés. Cet article décrit un moyen plus sûr de déléguer la gestion de l’attribution de rôles à d’autres utilisateurs de votre organisation, mais d’ajouter des restrictions pour ces attributions de rôles. Par exemple, vous pouvez limiter les rôles qui peuvent être attribués ou limiter les principaux auxquels les rôles peuvent être attribués.

Le diagramme suivant présente comment un délégué avec des conditions ne peut attribuer les rôles de contributeur de sauvegarde ou de lecteur de sauvegarde qu’aux groupes Marketing ou Ventes.

Prérequis

Pour attribuer des rôles Azure, vous devez disposer de :

• Autorisations Microsoft.Authorization/roleAssignments/write, comme Administrateur de contrôle d’accès en fonction du rôle ou Administrateur d’accès utilisateur

Étape 1 : Déterminer les autorisations dont le délégué a besoin

Pour déterminer les autorisations dont le délégué a besoin, répondez aux questions suivantes :

• Quels rôles le délégué peut-il attribuer ?
• À quels types de principaux le délégué peut-il attribuer des rôles ?
• À quels principaux le délégué peut-il attribuer des rôles ?
• Le délégué peut-il supprimer des attributions de rôle ?

Une fois que vous connaissez les autorisations dont le délégué a besoin, vous utilisez les étapes suivantes pour ajouter une condition à l’attribution de rôle du délégué. Pour des exemples concernant les conditions, consultez Exemples de délégation de la gestion de l’attribution de rôles Azure avec des conditions.

Étape 2 : Démarrer une nouvelle attribution de rôle

1. Connectez-vous au portail Azure.

2. Suivez les étapes pour ouvrir la page Ajouter une attribution de rôle.

3. Sous l’onglet Rôles, sélectionnez l’onglet Rôles d’administrateur privilégié.

4. Sélectionnez le rôle Administrateur du contrôle d’accès basé sur les rôles.

   L’onglet Conditions s’affiche.

   Vous pouvez sélectionner n’importe quel rôle qui inclut les actions Microsoft.Authorization/roleAssignments/write ou Microsoft.Authorization/roleAssignments/delete, tel que Administrateur d’accès utilisateur, mais Administrateur de contrôle d’accès basé sur le rôle a moins d’autorisations.

5. Sous l’onglet Membres, recherchez et sélectionnez le délégué.

Étape 3 : Ajouter une condition

Il existe deux façons d’ajouter une condition. Vous pouvez utiliser un modèle de condition ou utiliser un éditeur de condition avancé.

Modèle

1. Sous l’onglet Conditions sous Ce que l’utilisateur peut faire, sélectionnez l’option Autoriser l’utilisateur à attribuer uniquement des rôles sélectionnés à des principaux sélectionnés (moins de privilèges).

   

2. Sélectionnez Sélectionner des rôles et des principaux.

   La page Ajouter une condition d’attribution de rôle s’affiche avec une liste de modèles de conditions.

   

3. Sélectionnez un modèle de condition, puis sélectionnez Configurer.

   Modèle de conditions	Sélectionnez ce modèle pour
   Limiter les rôles	Autoriser l’utilisateur à n’attribuer que les rôles que vous sélectionnez
   Limiter les rôles et les types principaux	Autoriser l’utilisateur à n’attribuer que les rôles que vous sélectionnez Autoriser l’utilisateur à attribuer uniquement ces rôles aux types de principaux que vous sélectionnez (utilisateurs, groupes ou principaux de service)
   Limiter les rôles et les principaux	Autoriser l’utilisateur à n’attribuer que les rôles que vous sélectionnez Autoriser l’utilisateur à n’attribuer ces rôles qu’aux principaux que vous sélectionnez
   Autoriser tous les rôles à l’exception de rôles spécifiques	Autoriser l’utilisateur à attribuer tous les rôles à l’exception des rôles que vous sélectionnez

4. Dans le volet Configurer, ajoutez les configurations requises.

   

5. Sélectionnez Enregistrer pour ajouter la condition à l’attribution de rôle.

Éditeur de conditions

Si les modèles de condition ne fonctionnent pas pour votre scénario ou si vous souhaitez un plus grand contrôle, vous pouvez utiliser l’éditeur de conditions.

Ouvrir l’éditeur de conditions

1. Sous l’onglet Conditions sous Ce que l’utilisateur peut faire, sélectionnez l’option Autoriser l’utilisateur à attribuer uniquement des rôles sélectionnés à des principaux sélectionnés (moins de privilèges).

   

2. Sélectionnez Sélectionner des rôles et des principaux.

   La page Ajouter une condition d’attribution de rôle s’affiche avec une liste de modèles de conditions.

   

3. Sélectionnez Ouvrir l’éditeur de condition avancé.

   La page Ajouter une condition d’attribution de rôle s’affiche.

4. Pour l’option Type d’éditeur, laissez la valeur Visuel par défaut sélectionnée.

Ajouter une action

1. Dans la section Ajouter une action, sélectionnez Ajouter une action.

   Le volet Sélectionner une action s’affiche. Ce volet est une liste filtrée d’actions basées sur l’attribution de rôle destinée à être la cible de votre condition.

   

2. Sélectionnez l’action Créer ou mettre à jour les attributions de rôle que vous souhaitez autoriser si la condition est true.

   Conseil

   Si vous sélectionnez à la fois les actions Créer ou mettre à jour les attributions de rôles et Supprimer une attribution de rôles, vous ne pourrez pas ajouter d’expression de condition. Si vous souhaitez cibler ces deux actions, vous devez ajouter deux conditions. Pour plus d’informations, consultez Exemple : Limiter les rôles.

Générer des expressions

1. Dans la section Générer l’expression, sélectionnez Ajouter l’expression.

   Voici où vous générez l’expression pour limiter les attributions de rôles que le délégué peut ajouter.

2. Dans la liste Source d’attribut, sélectionnez Requête

3. Dans la liste Attribut, sélectionnez l’un des attributs suivants pour le côté gauche de l’expression.

   • ID de définition de rôle est utilisé pour limiter les rôles que le délégué peut attribuer.
   • L’ID de principal est utilisé pour restreindre les principaux spécifiques auxquels le délégué peut attribuer des rôles.
   • Type de principal est utilisé pour limiter les types de principaux (utilisateurs, groupes ou principaux de service) auxquels le délégué peut attribuer des rôles.

4. Dans la liste Opérateur, sélectionnez un opérateur.

   En fonction de l’attribut et de l’expression que vous souhaitez générer, vous sélectionnez généralement ces opérateurs, qui vous permettent de sélectionner une ou plusieurs valeurs pour le côté droit de l’expression.

   Attribut	Opérateur commun
   un ID de définition de rôle ;	ForAnyOfAnyValues:GuidEquals ForAnyOfAllValues:GuidNotEquals
   ID du principal	ForAnyOfAnyValues:GuidEquals
   Type de principal	ForAnyOfAnyValues:StringEqualsIgnoreCase

5. Dans la case Valeur, saisissez une ou plusieurs valeurs pour le côté droit de l’expression.

   

6. Ajoutez des expressions supplémentaires si nécessaire.

   Conseil

   Lorsque vous ajoutez plusieurs expressions pour déléguer la gestion de l’attribution de rôles avec des conditions, vous utilisez généralement l’opérateur Et entre les expressions au lieu de l’opérateur Ou par défaut.

7. Sélectionnez Enregistrer pour ajouter la condition à l’attribution de rôle.

Étape 4 : Attribuer un rôle avec condition au délégué

1. Sous l’onglet Vérifier + attribuer, vérifiez les paramètres d’attribution de rôle.

2. Sélectionnez Vérifier + attribuer pour attribuer le rôle.

   Après quelques instants, le délégué reçoit le rôle Administrateur de contrôle d’accès en fonction du rôle avec vos conditions d’attribution de rôle.

Étape 5 : Le délégué attribue des rôles avec des conditions

• Le délégué peut désormais suivre les étapes permettant d’attribuer des rôles.

  

  Lorsque le délégué tente d’attribuer des rôles dans le portail Azure, la liste des rôles est filtrée pour afficher simplement les rôles qu’ils peuvent attribuer.

  

  S’il existe une condition pour les principaux, la liste des principaux disponibles pour l’affectation est également filtrée.

  

  Si le délégué tente d’attribuer un rôle qui se trouve en dehors des conditions à l’aide d’une API, l’attribution de rôle échoue en affichant un message d’erreur. Pour plus d’informations, consultez Symptôme – Impossible d’attribuer un rôle.

Modifier une condition

Vous pouvez modifier une condition de deux manières différentes. Vous pouvez utiliser le modèle de condition ou utiliser l’éditeur de condition.

1. Dans le portail Azure, ouvrez la page Contrôle d’accès (IAM) pour l’attribution de rôle qui a une condition que vous voulez afficher, modifier ou supprimer.

2. Sélectionnez l’onglet Attributions de rôle et recherchez l’attribution de rôle.

3. Dans la colonne Condition, sélectionnez Afficher/Modifier.

   Si vous ne voyez pas le lien Afficher/Modifier, vérifiez que vous examinez la même étendue que celle de l’attribution de rôle.

   

   La page Ajouter une condition d’attribution de rôle s’affiche. Cette page est différente selon que la condition correspond à un modèle existant.

4. Si la condition correspond à un modèle existant, sélectionnez Configurer pour modifier la condition.

   

5. Si la condition ne correspond pas à un modèle existant, utilisez l’éditeur de condition avancé pour modifier la condition.

   Par exemple, pour modifier une condition, faites défiler vers le bas jusqu’à la section de l’expression de génération et mettez à jour les attributs, l’opérateur ou les valeurs.

   

   Pour modifier directement la condition, sélectionnez le type d’éditeur Code, puis modifiez le code de la condition.

   

6. Lorsque vous avez terminé, cliquez sur Enregistrer pour mettre à jour la condition.

Étapes suivantes

• Déléguer la gestion de l’accès Azure à d’autres utilisateurs
• Actions et attributs d’autorisation