Lire en anglais

Partager via


Contrôle d’accès en fonction du rôle Azure dans les Environnements de déploiement Azure

Cet article décrit les différents rôles intégrés pris en charge par les Environnements de déploiement Azure et leur mappage aux rôles organisationnels tels que l’ingénieur de plateforme et le responsable de développement.

Le contrôle d’accès en fonction du rôle (RBAC) Azure spécifie les définitions des rôles intégrés, qui décrivent les autorisations à appliquer. Vous attribuez à un utilisateur ou à un groupe cette définition de rôle par le biais d’une attribution de rôle pour une étendue spécifique. L’étendue peut être une ressource spécifique, un groupe de ressources ou l’ensemble de l’abonnement. Dans la section suivante, vous découvrez les rôles intégrés pris en charge par les Environnements de déploiement Azure.

Pour plus d’informations, consultez Qu’est-ce que le contrôle d’accès en fonction du rôle Azure (Azure RBAC) ?

Notes

Lorsque vous apportez des modifications aux attributions de rôles, la propagation de ces mises à jour peut prendre quelques minutes.

Rôles intégrés

Dans cet article, les rôles intégrés Azure sont regroupés logiquement en deux types de rôles organisationnels, en fonction de leur champ d’influence :

  • Rôles d’ingénieur de plateforme : influencent les autorisations pour les centres de développement, les catalogues et les projets
  • Responsable de développement : influence les autorisations pour les ressources basées sur des projets
  • Rôles de développeur : influencent les autorisations pour les utilisateurs

Voici les rôles intégrés pris en charge par les Environnements de déploiement Azure :

Type de rôle organisationnel Rôle intégré Description
Ingénieur plateforme Propriétaire Accordez un contrôle total pour créer/gérer des centres de développement, des catalogues et des projets, et accordez des autorisations à d’autres utilisateurs. Apprenez-en davantage sur le rôle Propriétaire.
Ingénieur plateforme Contributeur Accordez un contrôle total pour créer/gérer des centres de développement, des catalogues et des projets, à l’exception de l’attribution de rôles à d’autres utilisateurs. Apprenez-en davantage sur le rôle Contributeur.
Responsable de développement Administrateur de projet DevCenter Accordez l’autorisation de gérer certains aspects des projets et des environnements. En savoir plus sur le rôle Administrateur de projet DevCenter.
Développeur Lecteur d’Environnements de déploiement Accordez l’autorisation d’afficher tous les environnements d’un projet. En savoir plus sur le rôle Lecteur d’Environnements de déploiement.
Développeur Utilisateur Environnements de déploiement Accordez l’autorisation de créer des environnements et de contrôler entièrement les environnements qu’ils créent. En savoir plus sur le rôle Utilisateur Environnements de déploiement.

Étendue de l’attribution de rôle

Dans Azure RBAC, l’étendue représente l’ensemble des ressources auxquelles un accès s’applique. Quand vous attribuez un rôle, il est important de bien comprendre l’étendue, afin d’accorder uniquement l’accès nécessaire.

Dans Azure, vous pouvez spécifier une étendue à quatre niveaux : groupe d’administration, abonnement, groupe de ressources et ressource. Les étendues sont structurées dans une relation parent-enfant. Chaque niveau de hiérarchie rend l’étendue plus spécifique. Vous pouvez attribuer des rôles à n’importe de ces niveaux d’étendue. Le niveau que vous sélectionnez détermine la portée d’application du rôle. Les niveaux inférieurs héritent des autorisations de rôle des niveaux supérieurs. Apprenez-en davantage sur l’étendue pour Azure RBAC.

Pour les Environnements de déploiement Azure, tenez compte des étendues suivantes :

Portée Description
Abonnement Permet de gérer la facturation et la sécurité de toutes les ressources et services Azure. En règle générale, seuls les ingénieurs de plateforme disposent d’un accès au niveau de l’abonnement, car cette attribution de rôle accorde l’accès à toutes les ressources de l’abonnement.
Resource group Conteneur logique pour regrouper des ressources. L’attribution de rôle pour le groupe de ressources accorde l’autorisation au groupe de ressources et à toutes les ressources qu’il contient, telles que les centres de développement, les projets et les environnements de déploiement.
Centre de développement (ressource) Une collection de projets qui nécessitent des paramètres similaires. L’attribution de rôle pour le centre de développement accorde l’autorisation au centre de développement lui-même. Les projets et les environnements de déploiement n’héritent pas des autorisations affectées aux centres de développement.
Projet (ressource) Une ressource Azure utilisée pour appliquer des paramètres de configuration courants lorsque vous créez des environnements de déploiement. L’attribution de rôle pour le projet accorde l’autorisation uniquement à ce projet spécifique.
Type d’environnement (ressource) Une ressource Azure utilisée pour définir les types d’environnements que vous pouvez créer, comme les environnements bac à sable, de développement, de test ou de production. Les types d’environnement sont définis au niveau du centre de développement et configurés au niveau du projet. L’attribution de rôle pour le type d’environnement de déploiement accorde l’autorisation à ce type d’environnement au sein du projet, et non à d’autres types d’environnement dans le même projet.

Diagramme montrant les étendues des attributions de rôle pour les Environnements de déploiement Azure

Rôles pour les activités courantes des Environnements de déploiement

Le tableau suivant présente les activités courantes des Environnements de déploiement et le rôle nécessaire pour effectuer cette activité.

Activité Type de rôle Rôle Portée
Accorder l’autorisation de créer un groupe de ressources. Ingénieur plateforme Propriétaire ou Contributeur Abonnement
Accordez l’autorisation d’envoyer un ticket de support Microsoft, notamment pour demander une augmentation de la limite de quota. Ingénieur plateforme Propriétaire, Contributeur,Collaborateur de la demande de support Abonnement
Accordez l’autorisation de créer des types d’environnement dans un projet. Ingénieur plateforme Rôle personnalisé : Microsoft.Authorization/roleAssignments/write

Propriétaire, Contributeur ou Administrateur de projet
Abonnement


Projet
Accordez l’autorisation d’attribuer des rôles à d’autres utilisateurs. Ingénieur plateforme Propriétaire Resource group
Accordez l’autorisation de :
– Créer des centres de développement et des projets et les gérer.
– Attacher un catalogue dans un centre de développement ou un projet et le détacher.
Ingénieur plateforme Propriétaire, Contributeur Resource group
Accordez l’autorisation d’activer et désactiver les catalogues de projets. Responsable de développement Propriétaire, Contributeur Centre de développement
Accordez l’autorisation de créer et gérer tous les environnements d’un projet.
– Ajouter, synchroniser, supprimer un catalogue (les catalogues au niveau du projet doivent être activés sur le centre de développement).
– Configurer la date et l’heure d’expiration pour déclencher une suppression automatique.
– Mettre à jour et supprimer des types d’environnement.
– Supprimer des environnements.
Responsable de développement Administrateur de projet DevCenter Project
Affichez tous les environnements dans un projet. Responsable de développement Lecteur d’Environnements de déploiement Project
Créez et gérez vos propres environnements dans un projet. Utilisateur Utilisateur Environnements de déploiement Project
Créez et gérez des catalogues dans un dépôt GitHub ou un référentiel Azure Repos. Responsable de développement Non régi par RBAC.
L’utilisateur doit avoir des autorisations affectées via Azure DevOps ou GitHub.
Référentiel

Important

L’abonnement d’une organisation permet de gérer la facturation et la sécurité pour toutes les ressources et services Azure. Vous pouvez attribuer le rôle Propriétaire ou Contributeur sur l’abonnement. En règle générale, seuls les ingénieurs de plateforme disposent d’un accès au niveau de l’abonnement, car cela inclut un accès total à toutes les ressources de l’abonnement.

Rôles d’ingénieur de plateforme

Pour accorder aux utilisateurs l’autorisation de gérer les Environnements de déploiement Azure au sein de l’abonnement de votre organisation, vous devez leur attribuer le rôle Propriétaire ou Contributeur.

Attribuez ces rôles sur le groupe de ressources. Le centre de développement et les projets au sein du groupe de ressources héritent de ces attributions de rôles. Les types d’environnement héritent des attributions de rôles par le biais de projets.

Rôle de propriétaire

Attribuez le rôle Propriétaire pour donner à un utilisateur un contrôle total pour créer ou gérer des centres de développement et des projets, et accorder des autorisations à d’autres utilisateurs. Lorsqu’un utilisateur a le rôle Propriétaire dans le groupe de ressources, il peut effectuer les activités suivantes sur toutes les ressources du groupe de ressources :

  • Attribuer des rôles aux ingénieurs de plateforme afin qu’ils puissent gérer les ressources des Environnements de déploiement.
  • Créer des centres de développement, des projets et des types d’environnement.
  • Attacher et détacher des catalogues.
  • Afficher, supprimer et modifier les paramètres pour tous les centres de développement, projets et types d’environnement.

Attention

Lorsque vous attribuez le rôle Propriétaire ou Contributeur sur le groupe de ressources, ces autorisations s’appliquent également aux ressources non liées à l’environnement de déploiement qui existent dans le groupe de ressources. Par exemple, les ressources telles que les réseaux virtuels, les comptes de stockage, les galeries de calcul, etc.

Rôle Contributeur

Attribuez le rôle Contributeur afin de donner à un utilisateur un contrôle total pour créer ou gérer des centres de développement et des projets au sein d’un groupe de ressources. Le rôle Contributeur dispose des mêmes autorisations que le rôle Propriétaire, sauf pour ce qui suit :

  • Exécution des attributions de rôles

Rôle personnalisé

Pour créer un type d’environnement au niveau du projet dans les Environnements de déploiement, vous devez attribuer le rôle Propriétaire ou Administrateur d’accès utilisateur pour l’abonnement mappé dans le type d’environnement du projet. Pour éviter d’attribuer des autorisations étendues au niveau de l’abonnement, vous pouvez également créer et attribuer un rôle personnalisé qui applique des autorisations d’écriture. Appliquez le rôle personnalisé à l’abonnement mappé dans le type d’environnement du projet.

Pour savoir comment créer un rôle personnalisé avec Microsoft.Authorization/roleAssignments/write et l’affecter au niveau de l’abonnement, consultez : Créer un rôle personnalisé.

Outre le rôle personnalisé, l’utilisateur doit avoir le rôle Propriétaire, Contributeur ou Administrateur de projet sur le projet où le type d’environnement est créé.

Rôles de Responsable de développement

Il existe un rôle de responsable de développement : Administrateur de projet DevCenter. Ce rôle dispose d’autorisations plus restreintes à des étendues inférieures que les rôles d’ingénieur de plateforme. Vous pouvez attribuer ce rôle aux responsables de développement pour leur permettre d’effectuer des tâches administratives pour leur équipe.

Rôle d’Administrateur de projet DevCenter.

Attribuez le rôle d’Administrateur de projet DevCenter pour permettre à l’utilisateur d’effectuer les opérations suivantes :

  • Gérer tous les environnements au sein du projet.
  • Ajouter, synchroniser, supprimer un catalogue (les catalogues au niveau du projet doivent être activés sur le centre de développement)
  • Mettre à jour et supprimer les types d’environnement.
  • Configurer la date et l’heure d’expiration pour déclencher une suppression automatique.
  • Supprimer des environnements.

Rôles de développeur

Ces rôles donnent aux développeurs les autorisations dont ils ont besoin pour afficher, créer et gérer des environnements.

Utilisateur Environnements de déploiement

Attribuez le rôle d’Utilisateur Environnements de déploiement pour accorder aux utilisateurs l’autorisation de créer des environnements et de contrôler entièrement les environnements qu’ils créent.

  • Créer
  • Supprimer
  • Définissez la date et l’heure d’expiration.
  • Redéployez l’environnement.

Lecteur d’Environnements de déploiement

Attribuez le rôle Lecteur d’Environnements de déploiement pour accorder à un utilisateur l’autorisation d’afficher tous les environnements au sein du projet.

Un type d’environnement de projet définit deux ensembles de rôles pour les ressources d’environnement : le rôle attribué au créateur et le rôle affecté à des utilisateurs et groupes supplémentaires.

Lorsqu’un développeur crée un environnement basé sur un type d’environnement, il reçoit le rôle spécifié pour le créateur sur les ressources de l’environnement. D’autres développeurs reçoivent les rôles spécifiés pour les groupes auxquels ils appartiennent, le cas échéant. Ils sont autorisés à accéder aux ressources de l’environnement, mais pas à l’environnement lui-même. Dans ce cas, l’attribution du rôle Lecteur d’Environnements de déploiement permet aux développeurs d’afficher l’environnement.

Gestion des identités et des accès

La page Contrôle d’accès (IAM) du Portail Azure permet de configurer le contrôle d’accès en fonction du rôle Azure sur les ressources Environnements de déploiement Azure. Vous pouvez utiliser des rôles intégrés pour les individus et les groupes dans Active Directory. La capture d’écran suivante montre l’intégration Active Directory (Azure RBAC) à l’aide du contrôle d’accès (IAM) dans le Portail Microsoft Azure :

Pour connaître les étapes détaillées, consultez Attribuer des rôles Azure à l’aide du portail Azure.

Centre de développement, groupe de ressources et structure de projet

Votre organisation doit investir du temps à l’avance pour planifier le placement de vos centres de développement, ainsi que la structure des groupes de ressources et des projets.

Centres de développement : organisez les centres de développement selon l’ensemble de projets que vous souhaitez gérer ensemble, en appliquant des paramètres similaires et en fournissant des modèles similaires.

Les organisations peuvent utiliser un ou plusieurs centres de développement. En règle générale, chaque sous-organisation au sein de l’organisation possède son propre centre de développement. Vous pouvez créer plusieurs centres de développement dans les cas suivants :

  • Des configurations spécifiques sont disponibles pour un sous-ensemble de projets.
  • Différentes équipes possèdent et gèrent la ressource du centre de développement dans Azure.

Projets : associés à chaque équipe de développement ou groupe de personnes travaillant sur une application ou un produit.

Types d’environnement : reflètent la phase de développement ou de type d’environnement : développement, test, préproduction, production, etc. Vous pouvez choisir la convention d’affectation de noms la mieux adaptée à votre environnement.

La planification est particulièrement importante lorsque vous attribuez des rôles au groupe de ressources, car elle applique également des autorisations à toutes les ressources du groupe de ressources, y compris les projets et les types d’environnement.

Pour veiller à ce que les utilisateurs disposent uniquement d’un accès aux ressources appropriées :

  • Créez des groupes de ressources qui contiennent uniquement des ressources Environnements de déploiement.
  • Organisez les projets en fonction des types d’environnement requis et des développeurs qui doivent avoir accès.

Par exemple, vous pouvez créer des projets distincts pour différentes équipes de développement afin d’isoler les ressources de chaque équipe. Les responsables de développement d’un projet peuvent ensuite être affectés au rôle Administrateur de projet, qui leur accorde uniquement l’accès aux ressources de leur équipe.

Important

Planifiez la structure à l’avance, car il n’est pas possible de déplacer des ressources Environnements de déploiement comme des projets ou des environnements vers un autre groupe de ressources après leur création.

Structure de catalogue

Les Environnements de déploiement Azure utilisent des définitions d’environnement pour déployer des ressources Azure pour les développeurs. Une définition d’environnement comprend un modèle IaC et un fichier d’environnement qui fait office de manifeste. Le modèle définit l’environnement et le fichier d’environnement fournit les métadonnées sur le modèle.

Les Environnements de déploiement Azure stockent des définitions d’environnement dans un dépôt GitHub ou un référentiel Azure DevOps Services, appelé catalogue. Vous pouvez attacher un catalogue à un centre de développement ou à un projet. Les équipes de développement se servent des éléments que vous fournissez dans le catalogue pour créer des environnements dans Azure.

Vous pouvez attacher des catalogues à votre centre de développement ou projet pour gérer les définitions d’environnement à différents niveaux. Tenez compte des besoins de chaque équipe de développement lorsque vous décidez où attacher des catalogues.