Gestion de l’accès aux ressources dans Azure

La rubrique Méthodologie de gouvernance présente les Cinq disciplines de la gouvernance du cloud, ce qui inclut la gestion des ressources. La rubrique Présentation de la discipline Cohérence des ressources explique comment la gestion de l’accès aux ressources s’inscrit dans la discipline de gestion des ressources. Avant de découvrir comment concevoir un modèle de gouvernance, il est nécessaire de comprendre les contrôles de gestion des accès aux ressources dans Azure. La configuration des contrôles de gestion des accès aux ressources constitue la base de votre modèle de gouvernance.

Examinons les ressources et la façon dont elles sont déployées dans Azure.

Qu’est-ce qu’une ressource Azure ?

Dans Azure, une ressource est une entité gérée par Azure. Les machines virtuelles, les réseaux virtuels et les comptes de stockage sont tous des exemples de ressources Azure.

Diagramme d’une ressource.

Qu’est-ce qu’un groupe de ressources Azure ?

Chaque ressource dans Azure doit appartenir à un groupe de ressources. Un groupe de ressources est un conteneur logique qui regroupe plusieurs ressources afin que vous puissiez les gérer en tant qu’entité unique en fonction du cycle de vie et des aspects de sécurité. Par exemple, vous pouvez créer ou supprimer des ressources en tant que groupe si celles-ci partagent un cycle de vie similaire, comme les ressources d’une application multi-niveau. En d’autres termes, tous les éléments que vous créez, gérez et dépréciez ensemble sont associés à un même groupe de ressources.

Diagramme d’un groupe de ressources contenant une ressource

Une bonne pratique recommandée est d’associer les groupes de ressources et les ressources qu’ils contiennent à un abonnement Azure.

Qu’est-ce qu’un abonnement Azure ?

Un abonnement Azure est semblable à un groupe de ressources : il s’agit d’un conteneur logique qui regroupe des groupes de ressources et leurs ressources respectives. Un abonnement Azure est également associé aux contrôles Azure Resource Manager. Découvrez Azure Resource Manager et sa relation avec les abonnements Azure.

Diagramme d’un abonnement Azure

Qu’est-ce qu’Azure Resource Manager ?

Dans Fonctionnement d’Azure, vous avez découvert qu’Azure comprend un front-end avec des services qui orchestrent toutes les fonctions d’Azure. L’un de ces services est Azure Resource Manager. Ce service héberge les clients de l’API RESTful utilisés pour gérer les ressources.

Diagramme d’Azure Resource Manager

La figure suivante montre trois clients : Azure PowerShell, le Portail Azure et l’interface CLI Azure :

Diagramme de clients Azure se connectant à l’API REST Resource Manager

Bien que ces clients se connectent à Resource Manager à l’aide de l’API REST, Resource Manager n’inclut pas de fonctionnalité pour gérer directement les ressources. Au lieu de cela, la plupart des types de ressources Azure ont leur propre fournisseur de ressources.

Diagramme de fournisseur de ressources Azure.

Quand un client effectue une requête pour gérer une ressource spécifique, Azure Resource Manager se connecte au fournisseur de ressources pour ce type de ressources afin d’exécuter la requête. Par exemple, si un client effectue une requête pour gérer une ressource de machine virtuelle, Azure Resource Manager se connecte au fournisseur de ressources Microsoft.Compute.

Diagramme Azure Resource Manager se connectant au fournisseur de ressources Microsoft.Compute

Azure Resource Manager exige du client qu’il spécifie un identificateur pour l’abonnement et le groupe de ressources, afin de gérer la ressource de machine virtuelle.

Une fois que vous comprenez le fonctionnement d’Azure Resource Manager, vous pouvez apprendre à associer un abonnement Azure avec les contrôles Azure Resource Manager. Avant qu’Azure Resource Manager puisse exécuter une demande de gestion des ressources, passez en revue les jeux de contrôles suivants.

Le premier contrôle est le fait qu’un utilisateur validé doit effectuer une demande. En outre, Azure Resource Manager doit avoir une relation approuvée avec Azure Active Directory (Azure AD) pour fournir la fonctionnalité d’identité de l’utilisateur.

Diagramme d’Azure Active Directory.

Dans Azure AD, vous pouvez segmenter les utilisateurs en locataires. Un locataire est une construction logique qui représente une instance d’Azure AD dédiée et sécurisée, généralement associée à une organisation. Vous pouvez également associer chaque abonnement à un locataire Azure AD.

Un client Azure AD associé à un abonnement.

Chaque requête du client pour gérer une ressource dans un abonnement spécifique requiert que l’utilisateur dispose d’un compte dans le client Azure AD associé.

Le contrôle suivant consiste à vérifier que l’utilisateur dispose des autorisations suffisantes pour effectuer la requête. Les autorisations sont attribuées aux utilisateurs à l’aide du contrôle d’accès en fonction du rôle Azure (RBAC Azure).

Utilisateurs affectés aux rôles Azure

Un rôle Azure spécifie un ensemble d’autorisations qu’un utilisateur peut avoir sur une ressource spécifique. Lorsque le rôle est attribué à l’utilisateur, ces autorisations s’appliquent. Par exemple, le rôle de propriétaire intégré autorise un utilisateur à effectuer une action sur une ressource.

Le contrôle suivant vérifie que la requête est autorisée sous les paramètres spécifiés dans la stratégie de ressources Azure. Les stratégies de ressources Azure spécifient les opérations autorisées pour une ressource spécifique. Par exemple, une stratégie de ressources Azure peut spécifier que les utilisateurs sont uniquement autorisés à déployer un type spécifique de machine virtuelle.

Stratégie de ressource Azure

Le contrôle suivant consiste à vérifier que la requête ne dépasse pas une limite d’abonnement Azure. Par exemple, chaque abonnement dispose d’une limite de 980 groupes de ressources par abonnement. Si vous recevez une demande de déploiement d’un autre groupe de ressources quand la limite est atteinte, refusez-la.

Diagramme des limites de ressources Azure.

Le contrôle final vérifie que la requête est comprise dans l’engagement financier que vous associez à l’abonnement. Par exemple, si la requête doit déployer une machine virtuelle, Azure Resource Manager vérifie que l’abonnement dispose des informations de paiement suffisantes.

Un engagement financier associé à un abonnement

Résumé

Dans cet article, vous avez étudié la gestion des accès aux ressources dans Azure à l’aide d’Azure Resource Manager.

Étapes suivantes

Maintenant, vous comprenez comment gérer l’accès aux ressources dans Azure. Découvrez ensuite comment concevoir un modèle de gouvernance. Concevez un modèle de gouvernance pour une simple charge de travail ou pour plusieurs équipes qui utilisent ces services.