Gérer l’accès aux ressources dans Azure Stack Hub avec le contrôle d’accès en fonction du rôle
Azure Stack Hub prend en charge le contrôle d’accès en fonction du rôle (RBAC), qui est le même modèle de sécurité de la gestion des accès que celui utilisé par Microsoft Azure. Le contrôle d’accès en fonction du rôle vous permet de gérer les accès des utilisateurs, groupes et applications aux abonnements, ressources et services.
Concepts de base de la gestion des accès
Avec le contrôle d’accès en fonction du rôle (RBAC), vous pouvez effectuer un contrôle affiné des accès pour sécuriser votre environnement. Vous accordez aux utilisateurs les autorisations spécifiques dont ils ont besoin en leur attribuant un rôle RBAC dans une étendue donnée. L’étendue du rôle attribué peut être un abonnement, un groupe de ressources ou une ressource unique. Pour plus d’informations sur la gestion de l’accès, consultez l’article Contrôle d’accès en fonction du rôle (RBAC) dans le portail Azure.
Notes
Lorsque vous déployez Azure Stack Hub à l’aide des services de fédération Active Directory (AD FS) comme fournisseur d’identité, seuls les groupes universels sont pris en charge pour les scénarios RBAC.
Rôles intégrés
Azure Stack Hub fournit trois rôles de base applicables à tous les types de ressources :
- Propriétaire : accorde un accès complet pour gérer toutes les ressources, y compris la possibilité d’attribuer des rôles dans Azure Stack RBAC.
- Contributeur : accorde un accès complet pour gérer toutes les ressources, mais ne vous permet pas d’attribuer des rôles dans Azure Stack RBAC.
- Le Lecteur : peut tout afficher, mais ne peut apporter aucune modification.
Hiérarchie des ressources et héritage
Dans Azure Stack Hub, la hiérarchie des ressources est la suivante :
- Chaque abonnement est membre d’un seul répertoire.
- Chaque groupe de ressources est membre d’un seul abonnement.
- Chaque ressource est membre d’un seul groupe de ressources.
L’accès que vous accordez dans une étendue parente est hérité dans les étendues enfants. Exemple :
- Vous attribuez le rôle Lecteur à un groupe Microsoft Entra au niveau de l’étendue de l’abonnement. Les membres de ce groupe peuvent consulter tous les groupes de ressources et les ressources de l’abonnement.
- Vous attribuez le rôle de Contributeur à une application dans l’étendue du groupe de ressources. L’application peut gérer tous les types de ressources dans ce groupe de ressources, mais pas d’autres groupes de ressources de l’abonnement.
Attribution de rôles
Vous pouvez attribuer plusieurs rôles à un utilisateur et associer chaque rôle à une étendue différente. Exemple :
- Vous attribuez le rôle Lecteur au TestUser-A pour l’Abonnement-1.
- Vous attribuez le rôle Propriétaire au TestUser-A pour TestVM-1.
L’article sur les attributions de rôles Azure fournit des informations détaillées sur l’affichage, l’attribution et la suppression des rôles.
Définir des autorisations d’accès pour un utilisateur
Les étapes suivantes permettent de configurer des autorisations pour un utilisateur.
Connectez-vous avec un compte disposant des autorisations de propriétaire sur la ressource que vous souhaitez gérer.
Dans le volet de navigation de gauche, sélectionnez Groupes de ressources.
Choisissez le nom du groupe de ressources sur lequel vous souhaitez définir des autorisations.
Dans le volet de navigation du groupe de ressources, choisissez Contrôle d’accès (IAM).
La vue Attributions de rôles liste les éléments qui ont accès au groupe de ressources. Vous pouvez regrouper et filtrer les résultats.Dans la barre de menus Contrôle d’accès, choisissez Ajouter.
Sur le volet Ajouter des autorisations :
- Choisissez le rôle que vous souhaitez attribuer dans la liste déroulante Rôle.
- Choisissez la ressource dont vous voulez autoriser l’accès dans la liste déroulante Attribuer l'accès à.
- Sélectionnez l’utilisateur, le groupe ou l’application de votre répertoire auquel vous voulez accorder l’accès. Dans le répertoire, vous pouvez rechercher des noms d’affichage, des adresses de messagerie et des identificateurs d’objet.
Sélectionnez Enregistrer.