Contrôle d’accès en fonction du rôle Azure dans les Environnements de déploiement Azure
Article
Cet article décrit les différents rôles intégrés pris en charge par les Environnements de déploiement Azure et leur mappage aux rôles organisationnels tels que l’ingénieur de plateforme et le responsable de développement.
Le contrôle d’accès en fonction du rôle (RBAC) Azure spécifie les définitions des rôles intégrés, qui décrivent les autorisations à appliquer. Vous attribuez à un utilisateur ou à un groupe cette définition de rôle par le biais d’une attribution de rôle pour une étendue spécifique. L’étendue peut être une ressource spécifique, un groupe de ressources ou l’ensemble de l’abonnement. Dans la section suivante, vous découvrez les rôles intégrés pris en charge par les Environnements de déploiement Azure.
Lorsque vous apportez des modifications aux attributions de rôles, la propagation de ces mises à jour peut prendre quelques minutes.
Rôles intégrés
Dans cet article, les rôles intégrés Azure sont regroupés logiquement en deux types de rôles organisationnels, en fonction de leur champ d’influence :
Rôles d’ingénieur de plateforme : influencent les autorisations pour les centres de développement, les catalogues et les projets
Responsable de développement : influence les autorisations pour les ressources basées sur des projets
Rôles de développeur : influencent les autorisations pour les utilisateurs
Voici les rôles intégrés pris en charge par les Environnements de déploiement Azure :
Type de rôle organisationnel
Rôle intégré
Description
Ingénieur plateforme
Propriétaire
Accordez un contrôle total pour créer/gérer des centres de développement, des catalogues et des projets, et accordez des autorisations à d’autres utilisateurs. Apprenez-en davantage sur le rôle Propriétaire.
Ingénieur plateforme
Contributeur
Accordez un contrôle total pour créer/gérer des centres de développement, des catalogues et des projets, à l’exception de l’attribution de rôles à d’autres utilisateurs. Apprenez-en davantage sur le rôle Contributeur.
Dans Azure RBAC, l’étendue représente l’ensemble des ressources auxquelles un accès s’applique. Quand vous attribuez un rôle, il est important de bien comprendre l’étendue, afin d’accorder uniquement l’accès nécessaire.
Dans Azure, vous pouvez spécifier une étendue à quatre niveaux : groupe d’administration, abonnement, groupe de ressources et ressource. Les étendues sont structurées dans une relation parent-enfant. Chaque niveau de hiérarchie rend l’étendue plus spécifique. Vous pouvez attribuer des rôles à n’importe de ces niveaux d’étendue. Le niveau que vous sélectionnez détermine la portée d’application du rôle. Les niveaux inférieurs héritent des autorisations de rôle des niveaux supérieurs. Apprenez-en davantage sur l’étendue pour Azure RBAC.
Pour les Environnements de déploiement Azure, tenez compte des étendues suivantes :
Portée
Description
Abonnement
Permet de gérer la facturation et la sécurité de toutes les ressources et services Azure. En règle générale, seuls les ingénieurs de plateforme disposent d’un accès au niveau de l’abonnement, car cette attribution de rôle accorde l’accès à toutes les ressources de l’abonnement.
Resource group
Conteneur logique pour regrouper des ressources. L’attribution de rôle pour le groupe de ressources accorde l’autorisation au groupe de ressources et à toutes les ressources qu’il contient, telles que les centres de développement, les projets et les environnements de déploiement.
Centre de développement (ressource)
Une collection de projets qui nécessitent des paramètres similaires. L’attribution de rôle pour le centre de développement accorde l’autorisation au centre de développement lui-même. Les projets et les environnements de déploiement n’héritent pas des autorisations affectées aux centres de développement.
Projet (ressource)
Une ressource Azure utilisée pour appliquer des paramètres de configuration courants lorsque vous créez des environnements de déploiement. L’attribution de rôle pour le projet accorde l’autorisation uniquement à ce projet spécifique.
Type d’environnement (ressource)
Une ressource Azure utilisée pour définir les types d’environnements que vous pouvez créer, comme les environnements bac à sable, de développement, de test ou de production. Les types d’environnement sont définis au niveau du centre de développement et configurés au niveau du projet. L’attribution de rôle pour le type d’environnement de déploiement accorde l’autorisation à ce type d’environnement au sein du projet, et non à d’autres types d’environnement dans le même projet.
Rôles pour les activités courantes des Environnements de déploiement
Le tableau suivant présente les activités courantes des Environnements de déploiement et le rôle nécessaire pour effectuer cette activité.
Activité
Type de rôle
Rôle
Portée
Accorder l’autorisation de créer un groupe de ressources.
Propriétaire, Contributeur ou Administrateur de projet
Abonnement
Projet
Accordez l’autorisation d’attribuer des rôles à d’autres utilisateurs.
Ingénieur plateforme
Propriétaire
Resource group
Accordez l’autorisation de : – Créer des centres de développement et des projets et les gérer. – Attacher un catalogue dans un centre de développement ou un projet et le détacher.
Ingénieur plateforme
Propriétaire, Contributeur
Resource group
Accordez l’autorisation d’activer et désactiver les catalogues de projets.
Responsable de développement
Propriétaire, Contributeur
Centre de développement
Accordez l’autorisation de créer et gérer tous les environnements d’un projet. – Ajouter, synchroniser, supprimer un catalogue (les catalogues au niveau du projet doivent être activés sur le centre de développement). – Configurer la date et l’heure d’expiration pour déclencher une suppression automatique. – Mettre à jour et supprimer des types d’environnement. – Supprimer des environnements.
Responsable de développement
Administrateur de projet DevCenter
Project
Affichez tous les environnements dans un projet.
Responsable de développement
Lecteur d’Environnements de déploiement
Project
Créez et gérez vos propres environnements dans un projet.
Utilisateur
Utilisateur Environnements de déploiement
Project
Créez et gérez des catalogues dans un dépôt GitHub ou un référentiel Azure Repos.
Responsable de développement
Non régi par RBAC. L’utilisateur doit avoir des autorisations affectées via Azure DevOps ou GitHub.
Référentiel
Important
L’abonnement d’une organisation permet de gérer la facturation et la sécurité pour toutes les ressources et services Azure. Vous pouvez attribuer le rôle Propriétaire ou Contributeur sur l’abonnement. En règle générale, seuls les ingénieurs de plateforme disposent d’un accès au niveau de l’abonnement, car cela inclut un accès total à toutes les ressources de l’abonnement.
Rôles d’ingénieur de plateforme
Pour accorder aux utilisateurs l’autorisation de gérer les Environnements de déploiement Azure au sein de l’abonnement de votre organisation, vous devez leur attribuer le rôle Propriétaire ou Contributeur.
Attribuez ces rôles sur le groupe de ressources. Le centre de développement et les projets au sein du groupe de ressources héritent de ces attributions de rôles. Les types d’environnement héritent des attributions de rôles par le biais de projets.
Rôle de propriétaire
Attribuez le rôle Propriétaire pour donner à un utilisateur un contrôle total pour créer ou gérer des centres de développement et des projets, et accorder des autorisations à d’autres utilisateurs. Lorsqu’un utilisateur a le rôle Propriétaire dans le groupe de ressources, il peut effectuer les activités suivantes sur toutes les ressources du groupe de ressources :
Attribuer des rôles aux ingénieurs de plateforme afin qu’ils puissent gérer les ressources des Environnements de déploiement.
Créer des centres de développement, des projets et des types d’environnement.
Attacher et détacher des catalogues.
Afficher, supprimer et modifier les paramètres pour tous les centres de développement, projets et types d’environnement.
Attention
Lorsque vous attribuez le rôle Propriétaire ou Contributeur sur le groupe de ressources, ces autorisations s’appliquent également aux ressources non liées à l’environnement de déploiement qui existent dans le groupe de ressources. Par exemple, les ressources telles que les réseaux virtuels, les comptes de stockage, les galeries de calcul, etc.
Rôle Contributeur
Attribuez le rôle Contributeur afin de donner à un utilisateur un contrôle total pour créer ou gérer des centres de développement et des projets au sein d’un groupe de ressources. Le rôle Contributeur dispose des mêmes autorisations que le rôle Propriétaire, sauf pour ce qui suit :
Exécution des attributions de rôles
Rôle personnalisé
Pour créer un type d’environnement au niveau du projet dans les Environnements de déploiement, vous devez attribuer le rôle Propriétaire ou Administrateur d’accès utilisateur pour l’abonnement mappé dans le type d’environnement du projet. Pour éviter d’attribuer des autorisations étendues au niveau de l’abonnement, vous pouvez également créer et attribuer un rôle personnalisé qui applique des autorisations d’écriture. Appliquez le rôle personnalisé à l’abonnement mappé dans le type d’environnement du projet.
Pour savoir comment créer un rôle personnalisé avec Microsoft.Authorization/roleAssignments/write et l’affecter au niveau de l’abonnement, consultez : Créer un rôle personnalisé.
Outre le rôle personnalisé, l’utilisateur doit avoir le rôle Propriétaire, Contributeur ou Administrateur de projet sur le projet où le type d’environnement est créé.
Rôles de Responsable de développement
Il existe un rôle de responsable de développement : Administrateur de projet DevCenter. Ce rôle dispose d’autorisations plus restreintes à des étendues inférieures que les rôles d’ingénieur de plateforme. Vous pouvez attribuer ce rôle aux responsables de développement pour leur permettre d’effectuer des tâches administratives pour leur équipe.
Rôle d’Administrateur de projet DevCenter.
Attribuez le rôle d’Administrateur de projet DevCenter pour permettre à l’utilisateur d’effectuer les opérations suivantes :
Gérer tous les environnements au sein du projet.
Ajouter, synchroniser, supprimer un catalogue (les catalogues au niveau du projet doivent être activés sur le centre de développement)
Mettre à jour et supprimer les types d’environnement.
Configurer la date et l’heure d’expiration pour déclencher une suppression automatique.
Supprimer des environnements.
Rôles de développeur
Ces rôles donnent aux développeurs les autorisations dont ils ont besoin pour afficher, créer et gérer des environnements.
Utilisateur Environnements de déploiement
Attribuez le rôle d’Utilisateur Environnements de déploiement pour accorder aux utilisateurs l’autorisation de créer des environnements et de contrôler entièrement les environnements qu’ils créent.
Créer
Supprimer
Définissez la date et l’heure d’expiration.
Redéployez l’environnement.
Lecteur d’Environnements de déploiement
Attribuez le rôle Lecteur d’Environnements de déploiement pour accorder à un utilisateur l’autorisation d’afficher tous les environnements au sein du projet.
Un type d’environnement de projet définit deux ensembles de rôles pour les ressources d’environnement : le rôle attribué au créateur et le rôle affecté à des utilisateurs et groupes supplémentaires.
Lorsqu’un développeur crée un environnement basé sur un type d’environnement, il reçoit le rôle spécifié pour le créateur sur les ressources de l’environnement. D’autres développeurs reçoivent les rôles spécifiés pour les groupes auxquels ils appartiennent, le cas échéant. Ils sont autorisés à accéder aux ressources de l’environnement, mais pas à l’environnement lui-même. Dans ce cas, l’attribution du rôle Lecteur d’Environnements de déploiement permet aux développeurs d’afficher l’environnement.
Gestion des identités et des accès
La page Contrôle d’accès (IAM) du Portail Azure permet de configurer le contrôle d’accès en fonction du rôle Azure sur les ressources Environnements de déploiement Azure. Vous pouvez utiliser des rôles intégrés pour les individus et les groupes dans Active Directory. La capture d’écran suivante montre l’intégration Active Directory (Azure RBAC) à l’aide du contrôle d’accès (IAM) dans le Portail Microsoft Azure :
Centre de développement, groupe de ressources et structure de projet
Votre organisation doit investir du temps à l’avance pour planifier le placement de vos centres de développement, ainsi que la structure des groupes de ressources et des projets.
Centres de développement : organisez les centres de développement selon l’ensemble de projets que vous souhaitez gérer ensemble, en appliquant des paramètres similaires et en fournissant des modèles similaires.
Les organisations peuvent utiliser un ou plusieurs centres de développement. En règle générale, chaque sous-organisation au sein de l’organisation possède son propre centre de développement. Vous pouvez créer plusieurs centres de développement dans les cas suivants :
Des configurations spécifiques sont disponibles pour un sous-ensemble de projets.
Différentes équipes possèdent et gèrent la ressource du centre de développement dans Azure.
Projets : associés à chaque équipe de développement ou groupe de personnes travaillant sur une application ou un produit.
Types d’environnement : reflètent la phase de développement ou de type d’environnement : développement, test, préproduction, production, etc. Vous pouvez choisir la convention d’affectation de noms la mieux adaptée à votre environnement.
La planification est particulièrement importante lorsque vous attribuez des rôles au groupe de ressources, car elle applique également des autorisations à toutes les ressources du groupe de ressources, y compris les projets et les types d’environnement.
Pour veiller à ce que les utilisateurs disposent uniquement d’un accès aux ressources appropriées :
Créez des groupes de ressources qui contiennent uniquement des ressources Environnements de déploiement.
Organisez les projets en fonction des types d’environnement requis et des développeurs qui doivent avoir accès.
Par exemple, vous pouvez créer des projets distincts pour différentes équipes de développement afin d’isoler les ressources de chaque équipe. Les responsables de développement d’un projet peuvent ensuite être affectés au rôle Administrateur de projet, qui leur accorde uniquement l’accès aux ressources de leur équipe.
Important
Planifiez la structure à l’avance, car il n’est pas possible de déplacer des ressources Environnements de déploiement comme des projets ou des environnements vers un autre groupe de ressources après leur création.
Structure de catalogue
Les Environnements de déploiement Azure utilisent des définitions d’environnement pour déployer des ressources Azure pour les développeurs. Une définition d’environnement comprend un modèle IaC et un fichier d’environnement qui fait office de manifeste. Le modèle définit l’environnement et le fichier d’environnement fournit les métadonnées sur le modèle.
Les Environnements de déploiement Azure stockent des définitions d’environnement dans un dépôt GitHub ou un référentiel Azure DevOps Services, appelé catalogue. Vous pouvez attacher un catalogue à un centre de développement ou à un projet. Les équipes de développement se servent des éléments que vous fournissez dans le catalogue pour créer des environnements dans Azure.
Vous pouvez attacher des catalogues à votre centre de développement ou projet pour gérer les définitions d’environnement à différents niveaux. Tenez compte des besoins de chaque équipe de développement lorsque vous décidez où attacher des catalogues.
Découvrez comment appliquer des contrôles sur vos changements et déploiements Azure pour garantir que votre infrastructure est déployée selon un processus approuvé.
Expliquez les fonctionnalités de Microsoft Entra ID pour moderniser des solutions d’identité, implémenter des solutions hybrides et une gouvernance des identités.