Créer un rôle/une stratégie dans le tableau de bord Remediation

Cet article explique comment utiliser le tableau de bord Correction dans Gestion des autorisations Microsoft Entra afin de créer des rôles/stratégies pour les systèmes d’autorisation Amazon Web Services (AWS), Microsoft Azure ou Google Cloud Platform (GCP).

Notes

Pour afficher l’onglet Remediation, vous devez disposer des autorisations Viewer, Controller ou Administrator. Pour apporter des modifications sous cet onglet, vous devez disposer des autorisations Controller ou Administrator. Si vous ne disposez pas de ces autorisations, contactez l’administrateur système.

Notes

Microsoft Azure utilise le terme rôle pour qualifier ce que d’autres fournisseurs de cloud appellent stratégie. Permissions Management effectue automatiquement cette modification terminologique lorsque vous sélectionnez le type de système d’autorisation. Dans la documentation utilisateur, nous utilisons rôle/stratégie pour faire référence aux deux.

Créer une stratégie pour AWS

Notes

Pour plus d’informations sur les quotas de service AWS et pour demander une augmentation du quota de service AWS, consultez la documentation AWS.

1. Sur la page d'accueil de Microsoft Entra, sélectionnez l'onglet Correction, puis sélectionnez l'onglet Rôle/Politiques.

2. Utilisez les listes déroulantes pour sélectionner le type de système d’autorisation et le système d’autorisation.

3. Sélectionnez Créer une stratégie.

4. Dans la page Details, le type de système d’autorisation et le système d’autorisation sont préremplis à partir des paramètres précédents.

   • Pour changer les paramètres, effectuez une sélection dans la liste déroulante.

5. Sous Comment voulez-vous créer la stratégie ?, sélectionnez l’option requise :

   • Activité du ou des utilisateurs : vous permet de créer une stratégie basée sur l’activité de l’utilisateur.
   • Activité du ou des groupes : vous permet de créer une stratégie basée sur l’activité agrégée de tous les utilisateurs appartenant au(x) groupe(s).
   • Activité de la ou des ressources : vous permet de créer une stratégie basée sur l’activité d’une ressource, par exemple, une instance EC2.
   • Activité du rôle : vous permet de créer une stratégie basée sur l’activité agrégée de tous les utilisateurs qui assument le rôle.
   • Activité de la ou des étiquettes : vous permet de créer une stratégie basée sur l’activité agrégée de toutes les étiquettes.
   • Activité de la fonction Lambda : vous permet de créer une stratégie basée sur la fonction Lambda.
   • À partir d’une stratégie existante : vous permet de créer une stratégie basée sur une stratégie existante.
   • Nouvelle stratégie : vous permet de créer une stratégie à partir de zéro.

6. Dans Tâches effectuées au cours du ou des derniers, sélectionnez la durée : 90 jours, 60 jours, 30 jours, 7 jours ou 1 jour.

7. Selon vos préférences, sélectionnez ou désélectionnez Include Access Advisor data.

8. Dans Settings, dans la colonne Available, sélectionnez le signe plus (+) pour déplacer l’identité dans la colonne Selected, puis sélectionnez Next.

9. Dans la page Tasks, dans la colonne Available, sélectionnez le signe plus (+) pour déplacer la tâche dans la colonne Selected.

   • Pour ajouter une catégorie entière, sélectionnez une catégorie.
   • Pour ajouter des éléments individuels à partir d’une catégorie, sélectionnez la flèche vers le bas à gauche du nom de la catégorie, puis sélectionnez ces éléments.

10. Dans Resources, sélectionnez All Resources ou Specific Resources.

    Si vous sélectionnez Specific Resources, la liste des ressources disponibles s’affiche. Recherchez les ressources que vous souhaitez ajouter, puis sélectionnez Add.

11. Dans Request Conditions, sélectionnez JSON.

12. Dans Effect, sélectionnez Allow ou Deny, puis sélectionnez Next.

13. Dans Policy name:, entrez le nom de votre stratégie.

14. Pour ajouter une autre instruction à votre stratégie, sélectionnez Ajouter une instruction, puis, dans la liste Instructions, sélectionnez une instruction.

15. Passez en revue vos paramètres Task, Resources, Request Conditions et Effect, puis sélectionnez Next.

16. Dans la page Preview, examinez le script pour vérifier qu’il correspond à ce que vous voulez.

17. Si votre contrôleur n’est pas activé, sélectionnez Download JSON ou Download Script pour télécharger le code et l’exécuter vous-même.

    Si votre contrôleur est activé, ignorez cette étape.

18. Sélectionnez Stratégie de fractionnement, puis Envoyer.

    Un message confirme que votre stratégie a été soumise à des fins de création.

19. Le volet Tâches Gestion des autorisations apparaît à droite.

    • L’onglet Actives affiche la liste des stratégies que la Gestion des autorisations est en train de traiter.
    • L’onglet Terminées affiche la liste des stratégies que la Gestion des autorisations a terminées.

20. Actualisez l’onglet Role/Policies pour afficher la stratégie que vous avez créée.

Créer un rôle pour Azure

1. Dans la page d’accueil Gestion des autorisations, sélectionnez l’onglet Correction, puis l’onglet Rôle/stratégies.

2. Utilisez les listes déroulantes pour sélectionner le type de système d’autorisation et le système d’autorisation.

3. Sélectionnez Créer un rôle.

4. Dans la page Details, le type de système d’autorisation et le système d’autorisation sont préremplis à partir des paramètres précédents.

   • Pour changer les paramètres, cochez la case et effectuez une sélection dans la liste déroulante.

5. Sous Comment voulez-vous créer le rôle ?, sélectionnez l’option requise :

   • Activité du ou des utilisateurs : vous permet de créer un rôle basé sur l’activité de l’utilisateur.
   • Activité du ou des groupes : vous permet de créer un rôle basé sur l’activité agrégée de tous les utilisateurs appartenant au(x) groupe(s).
   • Activité de la ou des applications : vous permet de créer un rôle basé sur l’activité agrégée de toutes les applications.
   • À partir d’un rôle existant : vous permet de créer un rôle basé sur un rôle existant.
   • Nouveau rôle : vous permet de créer un rôle à partir de zéro.

6. Dans Tâches effectuées au cours du ou des derniers, sélectionnez la durée : 90 jours, 60 jours, 30 jours, 7 jours ou 1 jour.

7. Selon vos préférences :

   • Sélectionnez ou désélectionnez Ignorer les actions de lecture Non-Microsoft.
   • Sélectionnez ou désélectionnez Inclure les tâches en lecture seule.

8. Dans Settings, dans la colonne Available, sélectionnez le signe plus (+) pour déplacer l’identité dans la colonne Selected, puis sélectionnez Next.

9. Dans la page Tasks, dans Role name:, entrez un nom pour votre rôle.

10. Dans la colonne Available, sélectionnez le signe plus (+) pour déplacer la tâche dans la colonne Selected.

    • Pour ajouter une catégorie entière, sélectionnez une catégorie.
    • Pour ajouter des éléments individuels à partir d’une catégorie, sélectionnez la flèche vers le bas à gauche du nom de la catégorie, puis sélectionnez ces éléments.

11. Cliquez sur Suivant.

12. (Facultatif) Un administrateur peut copier la chaîne d’étendue des Groupes de ressources à utiliser comme étendue. Dans Azure, sélectionnez Groupe de ressources>Surveillance>Propriétés, puis copiez l’ID de la ressource.

13. Dans la page Preview, passez en revue :

    • La liste des Actions sélectionnées et Non actions.
    • Le JSON ou le script pour vérifier qu’il correspond à ce que vous voulez.

14. Si votre contrôleur n’est pas activé, sélectionnez Download JSON ou Download Script pour télécharger le code et l’exécuter vous-même.

    Si votre contrôleur est activé, ignorez cette étape.

15. Sélectionnez Envoyer.

    Un message confirme que votre rôle a été soumis à des fins de création.

16. Le volet Tâches Gestion des autorisations apparaît à droite.

    • L’onglet Actives affiche la liste des stratégies que la Gestion des autorisations est en train de traiter.
    • L’onglet Terminées affiche la liste des stratégies que la Gestion des autorisations a terminées.

17. Actualisez l’onglet Role/Policies pour afficher le rôle que vous avez créé.

Créer un rôle pour GCP

1. Dans la page d’accueil Gestion des autorisations, sélectionnez l’onglet Correction, puis l’onglet Rôle/stratégies.

2. Utilisez les listes déroulantes pour sélectionner le type de système d’autorisation et le système d’autorisation.

3. Sélectionnez Créer un rôle.

4. Dans la page Details, le type de système d’autorisation et le système d’autorisation sont préremplis à partir des paramètres précédents.

   • Pour changer les paramètres, cochez la case et effectuez une sélection dans la liste déroulante.

5. Sous Comment voulez-vous créer le rôle ?, sélectionnez l’option requise :

   • Activité du ou des utilisateurs : vous permet de créer un rôle basé sur l’activité de l’utilisateur.
   • Activité du ou des groupes : vous permet de créer un rôle basé sur l’activité agrégée de tous les utilisateurs appartenant au(x) groupe(s).
   • Activité du ou des comptes de service : vous permet de créer un rôle basé sur l’activité agrégée de tous les comptes de service.
   • À partir d’un rôle existant : vous permet de créer un rôle basé sur un rôle existant.
   • Nouveau rôle : vous permet de créer un rôle à partir de zéro.

6. Dans Tâches effectuées au cours du ou des derniers, sélectionnez la durée : 90 jours, 60 jours, 30 jours, 7 jours ou 1 jour.

7. Si vous avez sélectionné Activité du ou des comptes de service à l’étape précédente, sélectionnez ou désélectionnez Collecter l’activité dans l’ensemble des systèmes d’autorisation GCP.

8. Dans la colonne Available, sélectionnez le signe plus (+) pour déplacer l’identité dans la colonne Selected, puis sélectionnez Next.

9. Dans la page Tasks, dans Role name:, entrez un nom pour votre rôle.

10. Dans la colonne Available, sélectionnez le signe plus (+) pour déplacer la tâche dans la colonne Selected.

    • Pour ajouter une catégorie entière, sélectionnez une catégorie.
    • Pour ajouter des éléments individuels à partir d’une catégorie, sélectionnez la flèche vers le bas à gauche du nom de la catégorie, puis sélectionnez ces éléments.

11. Sélectionnez Suivant.

12. Dans la page Preview, passez en revue :

    • La liste des actions sélectionnées.
    • Le YAML ou le script pour vérifier qu’il correspond à ce que vous voulez.

13. Si votre contrôleur n’est pas activé, sélectionnez Download YAML ou Download Script pour télécharger le code et l’exécuter vous-même.

14. Sélectionnez Envoyer. Un message confirme que votre rôle a été soumis à des fins de création.

15. Le volet Tâches Gestion des autorisations apparaît à droite.

    • L’onglet Actives affiche la liste des stratégies que la Gestion des autorisations est en train de traiter.
    • L’onglet Terminées affiche la liste des stratégies que la Gestion des autorisations a terminées.

16. Actualisez l’onglet Role/Policies pour afficher le rôle que vous avez créé.

Étapes suivantes

• Pour plus d’informations sur la façon d’afficher les rôles/stratégies, les demandes et les autorisations existants, consultez Afficher les rôles/stratégies, les demandes et l’autorisation dans le tableau de bord Remediation.
• Pour plus d’informations sur la façon de modifier un rôle ou une stratégie, consultez Modifier un rôle/une stratégie.