Contrôle d’accès en fonction du rôle Azure dans Azure Lab Services
Important
Azure Lab Services sera mis hors service le 28 juin 2027. Pour plus d’informations, consultez le guide de mise hors service.
Azure Lab Services fournit un contrôle d’accès en fonction du rôle Azure intégré (Azure RBAC) pour les scénarios de gestion courants dans Azure Lab Services. Une personne ayant un profil dans Microsoft Entra ID peut affecter ces rôles Azure à des utilisateurs, des groupes, des principaux de service ou des identités managées pour accorder ou refuser l’accès à des ressources et des opérations sur les ressources Azure Lab Services. Cet article décrit les différents rôles intégrés pris en charge par Azure Lab Services.
Le contrôle d’accès en fonction du rôle (RBAC) Azure est un système d’autorisation basé sur Azure Resource Manager, qui permet une gestion précise des accès des ressources Azure.
Azure RBAC spécifie les définitions de rôles intégrés qui décrivent les autorisations à appliquer. Vous attribuez à un utilisateur ou à un groupe cette définition de rôle par le biais d’une attribution de rôle pour une étendue spécifique. L’étendue peut être une ressource spécifique, un groupe de ressources ou l’ensemble de l’abonnement. Dans la section suivante, vous allez découvrir les rôles intégrés pris en charge par Azure Lab Services.
Pour plus d’informations, consultez Qu’est-ce que le contrôle d’accès en fonction du rôle Azure (Azure RBAC) ?
Remarque
Lorsque vous apportez des modifications aux attributions de rôles, la propagation de ces mises à jour peut prendre quelques minutes.
Rôles intégrés
Dans cet article, les rôles intégrés Azure sont regroupés logiquement en deux types de rôles, en fonction de leur étendue d’influence :
- Rôles d’administrateur : influencent les autorisations pour les plans de labo et les labos
- Rôles de gestion de labo : influencent les autorisations pour les labos
Voici les rôles intégrés pris en charge par Azure Lab Services :
| Type de rôle | Rôle intégré | Description |
|---|---|---|
| Administrateur | Owner | Accorder un contrôle total pour créer/gérer des plans de labo et des labos, et accorder des autorisations à d’autres utilisateurs. Apprenez-en davantage sur le rôle Propriétaire. |
| Administrateurs | Contributeur | Accorder un contrôle total pour créer/gérer des plans de labo et des labos, à l’exception de l’attribution de rôles à d’autres utilisateurs. Apprenez-en davantage sur le rôle Contributeur. |
| Administrateurs | Contributeur de Services Lab | Accorder les mêmes autorisations que le rôle Propriétaire, à l’exception de l’attribution de rôles. Apprenez-en davantage sur le rôle Contributeur de services Lab. |
| Gestion des labos | Créateur Lab | Accorder l’autorisation de créer des labos et contrôler entièrement les labos qu’ils créent. Apprenez-en davantage sur le rôleCréateur de laboratoire. |
| Gestion des labos | Contributeur Lab | Accorder l’autorisation de gérer un labo existant, mais pas de créer des labos. Apprenez-en davantage sur le rôle Contributeur de lab. |
| Gestion des labos | Assistant Lab | Accorder l’autorisation d’afficher un labo existant. Peut également démarrer, arrêter ou réimager n’importe quelle machine virtuelle dans le labo. Apprenez-en davantage sur le rôle Assistant de lab. |
| Gestion des labos | Lecteur de Services Lab | Accorder l’autorisation d’afficher les labos existants. Apprenez-en davantage sur le rôle Lecteur de services Lab. |
Étendue de l’attribution de rôle
Dans Azure RBAC, l’étendue représente l’ensemble des ressources auxquelles un accès s’applique. Quand vous attribuez un rôle, il est important de bien comprendre l’étendue, afin d’accorder uniquement l’accès nécessaire.
Dans Azure, vous pouvez spécifier une étendue à quatre niveaux : groupe d’administration, abonnement, groupe de ressources et ressource. Les étendues sont structurées dans une relation parent-enfant. Chaque niveau de hiérarchie rend l’étendue plus spécifique. Vous pouvez attribuer des rôles à n’importe de ces niveaux d’étendue. Le niveau que vous sélectionnez détermine la portée d’application du rôle. Les niveaux inférieurs héritent des autorisations de rôle des niveaux supérieurs. Apprenez-en davantage sur l’étendue pour Azure RBAC.
Pour Azure Lab Services, les étendues sont les suivantes :
| Étendue | Description |
|---|---|
| Abonnement | Permet de gérer la facturation et la sécurité de toutes les ressources et services Azure. En règle générale, seuls les administrateurs disposent d’un accès au niveau de l’abonnement, car cette attribution de rôle accorde l’accès à toutes les ressources de l’abonnement. |
| Resource group | Conteneur logique pour regrouper des ressources. L’attribution de rôle pour le groupe de ressources accorde l’autorisation au groupe de ressources et à toutes les ressources qu’il contient, telles que les labos et les plans de labo. |
| Plan de labo | Ressource Azure utilisée pour appliquer des paramètres de configuration courants lorsque vous créez un labo. L’attribution de rôle pour le plan de labo accorde uniquement l’autorisation à un plan de labo spécifique. |
| Labo | Ressource Azure utilisée pour appliquer des paramètres de configuration courants pour la création et l’exécution de machines virtuelles de labo. L’attribution de rôle pour le labo accorde l’autorisation uniquement à un labo spécifique. |
Important
Dans Azure Lab Services, les plans de labo et les labos sont des ressources sœurs les unes des autres. Par conséquent, les labos n’héritent pas des attributions de rôles du plan de labo. En revanche, les attributions de rôles du groupe de ressources sont héritées par les plans de labo et les labos de ce groupe de ressources.
Rôles pour les activités de labo courantes
Le tableau suivant présente les activités de labo courantes et le rôle nécessaire pour qu’un utilisateur effectue cette activité.
| Activité | Type de rôle | Role | Étendue |
|---|---|---|---|
| Accorder l’autorisation de créer un groupe de ressources. Un groupe de ressources est un conteneur logique dans Azure devant stocker les plans de labo et les labos. Avant créer un plan de labo ou un labo, vous devez vérifier que ce groupe de ressources existe. | Administrateurs | Propriétaire ou Contributeur | Abonnement |
| Accorder l’autorisation d’envoyer un ticket de support Microsoft, notamment pour demander de la capacité. | Administrateurs | Propriétaire, Contributeur,Collaborateur de la demande de support | Abonnement |
| Accorder l’autorisation de : - Attribuer des rôles à d’autres utilisateurs. - Créer/gérer des plans de labo, des labos et d’autres ressources au sein du groupe de ressources. - Activer/désactiver la Place de marché et les images personnalisées sur un plan de labo. - Attacher/détacher une galerie de calcul sur un plan de labo. |
Administrateur | Propriétaire | Resource group |
| Accorder l’autorisation de : - Créer/gérer des plans de labo, des labos et d’autres ressources au sein du groupe de ressources. - Activer ou désactiver la Place de marché Azure et les images personnalisées sur un plan de labo. Toutefois, cela n’inclut pas la capacité à attribuer des rôles à d’autres utilisateurs. |
Administrateurs | Contributeur | Resource group |
| Accorder l’autorisation de créer ou de gérer vos propres labos pour tous les plans de labo au sein d’un groupe de ressources. | Gestion des labos | Créateur Lab | Resource group |
| Accorder l’autorisation de créer ou de gérer vos propres labos pour un plan de labo spécifique. | Gestion des labos | Créateur Lab | Plan de labo |
| Accorder l’autorisation de co-gérer un labo, mais pas la capacité à créer des labos. | Gestion des labos | Contributeur Lab | Labo |
| Accorder l’autorisation de démarrer/arrêter/réimager des machines virtuelles pour tous les labos au sein d’un groupe de ressources. | Gestion des labos | Assistant Lab | Resource group |
| Accorder l’autorisation de démarrer/arrêter/réimager des machines virtuelles pour un labo spécifique. | Gestion des labos | Assistant Lab | Labo |
Important
L’abonnement d’une organisation permet de gérer la facturation et la sécurité pour toutes les ressources et services Azure. Vous pouvez attribuer le rôle Propriétaire ou Contributeur sur l’abonnement. En règle générale, seuls les administrateurs disposent d’un accès au niveau de l’abonnement, car cela inclut un accès total à toutes les ressources de l’abonnement.
Rôles Administrateur
Pour accorder aux utilisateurs l’autorisation de gérer Azure Lab Services au sein de l’abonnement de votre organisation, vous devez leur attribuer le rôle Propriétaire, Contributeur ou Contributeur de services Lab.
Attribuez ces rôles sur le groupe de ressources. Les plans de labo et les labos au sein du groupe de ressources héritent de ces attributions de rôles.
Le tableau suivant compare les différents rôles d’administrateur lorsqu’ils sont affectés sur le groupe de ressources.
| Plan de labo/Labo | Activité | Propriétaire | Contributeur | Contributeur de Services Lab |
|---|---|---|---|---|
| Plan de labo | Afficher tous les plans de labo dans le groupe de ressources | Oui | Oui | Oui |
| Plan de labo | Créer, modifier ou supprimer tous les plans de labo dans le groupe de ressources | Oui | Oui | Oui |
| Plan de labo | Attribuer des rôles à des plans de labo au sein du groupe de ressources | Oui | No | Non |
| Labo | Créer des labos dans le groupe de ressources** | Oui | Oui | Oui |
| Labo | Afficher les labos d’autres utilisateurs au sein du groupe de ressources | Oui | Oui | Oui |
| Labo | Modifier ou supprimer des labos d’autres utilisateurs au sein du groupe de ressources | Oui | Oui | Non |
| Labo | Attribuer des rôles aux labos d’autres utilisateurs au sein du groupe de ressources | Oui | No | Non |
** Les utilisateurs reçoivent automatiquement l’autorisation d’afficher, de modifier les paramètres, de supprimer et d’attribuer des rôles pour les labos qu’ils créent.
Rôle de propriétaire
Attribuer le rôle Propriétaire pour donner à un utilisateur un contrôle total pour créer ou gérer des plans de labo et des labos, et accorder des autorisations à d’autres utilisateurs. Lorsqu’un utilisateur a le rôle Propriétaire sur le groupe de ressources, il peut effectuer les activités suivantes sur toutes les ressources du groupe de ressources :
- Attribuer des rôles aux administrateurs afin qu’ils puissent gérer les ressources associées au labo.
- Attribuer des rôles aux gestionnaires de labos afin qu’ils puissent créer et gérer des labos.
- Créer des plans de labo et des labos.
- Afficher, supprimer et modifier les paramètres de tous les plans de labo, notamment l’attachement ou le détachement de la galerie de calcul et l’activation ou la désactivation de la Place de marché Azure et des images personnalisées sur les plans de labo.
- Afficher, supprimer et modifier les paramètres de tous les labos.
Attention
Lorsque vous attribuez le rôle Propriétaire ou Contributeur sur le groupe de ressources, ces autorisations s’appliquent également aux ressources non liées au labo qui existent dans le groupe de ressources. Par exemple, les ressources telles que les réseaux virtuels, les comptes de stockage, les galeries de calcul, etc.
Rôle Contributeur
Attribuer le rôle Contributeur afin de donner à un utilisateur un contrôle total pour créer ou gérer des plans de labo et des labos au sein d’un groupe de ressources. Le rôle Contributeur dispose des mêmes autorisations que le rôle Propriétaire, sauf pour ce qui suit :
- Exécution des attributions de rôles
Rôles Contributeur de services Lab
Le Contributeur de services Lab est le plus restrictif des rôles d’administrateur. Attribuez le rôle Contributeur de services Lab pour permettre les mêmes activités que le rôle Propriétaire, sauf pour ce qui suit :
- Exécution des attributions de rôles
- Modification ou suppression des labos d’autres utilisateurs
Remarque
Le rôle Contributeur de services Lab n’autorise pas à apporter des modifications aux ressources qui ne sont pas liées à Azure Lab Services. En revanche, le rôle Contributeur autorise les modifications à toutes les ressources Azure au sein du groupe de ressources.
Rôles de gestion des labos
Utilisez les rôles suivants pour accorder aux utilisateurs des autorisations pour créer et gérer des labos :
- Créateur Lab
- Contributeur Lab
- Assistant Lab
- Lecteur de Services Lab
Ces rôles de gestion des labos accordent uniquement l’autorisation d’afficher les plans de labo. Ces rôles n’autorisent pas la création, la modification, la suppression ou l’attribution de rôles à des plans de labo. En outre, les utilisateurs disposant de ces rôles ne peuvent pas attacher ou détacher une galerie de calcul, ni activer ou désactiver des images de machine virtuelle.
Rôle Créateur de laboratoire
Attribuez le rôle Créateur de laboratoire pour accorder à un utilisateur l’autorisation de créer des labos et contrôler totalement les labos qu’il crée. Par exemple, il peut modifier les paramètres de ses labos, supprimer ses labos, et même accorder à d’autres utilisateurs l’autorisation d’accès à ses labos.
Attribuez le rôle Créateur de laboratoire sur le groupe de ressources ou le plan de labo.
Le tableau suivant compare l’attribution de rôle Créateur de laboratoire pour le groupe de ressources ou le plan de labo.
| Activité | Resource group | Plan de labo |
|---|---|---|
| Créer des labos dans le groupe de ressources** | Oui | Oui |
| Afficher les labos qu’ils ont créés | Oui | Oui |
| Afficher les labos d’autres utilisateurs au sein du groupe de ressources | Oui | Non |
| Modifier ou supprimer des labos créés par l’utilisateur | Oui | Oui |
| Modifier ou supprimer des labos d’autres utilisateurs au sein du groupe de ressources | Non | Non |
| Attribuer des rôles aux labos d’autres utilisateurs au sein du groupe de ressources | Non | Non |
** Les utilisateurs reçoivent automatiquement l’autorisation d’afficher, de modifier les paramètres, de supprimer et d’attribuer des rôles pour les labos qu’ils créent.
Rôle Contributeur de lab
Attribuez le rôle Contributeur de lab pour accorder à un utilisateur l’autorisation de gérer un labo existant.
Attribuez le rôle Contributeur de lab sur le labo.
Lorsque vous attribuez le rôle Contributeur de lab sur le labo, l’utilisateur peut gérer le labo affecté. Plus précisément, l’utilisateur :
- Peut afficher, modifier tous les paramètres, ou supprimer le labo affecté.
- L’utilisateur ne peut pas afficher les labos d’autres utilisateurs.
- Ne peut pas créer de labos.
Rôle Assistant de lab
Attribuez le rôle Assistant de lab pour accorder à un utilisateur l’autorisation d’afficher un labo, et de démarrer, arrêter et réimager des machines virtuelles de labo pour le labo.
Attribuez le rôle Assistant de lab sur le groupe de ressources ou le labo.
Lorsque vous attribuez le rôle Assistant de lab sur le groupe de ressources, l’utilisateur :
- Peut afficher tous les labos au sein du groupe de ressources et démarrer, arrêter ou réimager des machines virtuelles de labo pour chaque labo.
- Ne peut pas supprimer ou apporter d’autres modifications aux labos.
Lorsque vous attribuez le rôle Assistant de lab sur le labo, l’utilisateur :
- Peut afficher le labo affecté et démarrer, arrêter ou réimager des machines virtuelles de labo.
- Ne peut pas supprimer ou apporter d’autres modifications au labo.
- Ne peut pas créer de labos.
Lorsque vous avez le rôle Assistant de lab, pour afficher les autres labos auxquels vous avez accès, veillez à choisir le filtre Tous les labos sur le site web Azure Lab Services.
Rôle Lecteur des services lab
Attribuez le rôle Lecteur des services lab pour accorder à l’utilisateur l’autorisation d’afficher les labos existants. L’utilisateur ne peut apporter aucune modification aux labos existants.
Attribuez le rôle Lecteur des services lab sur le groupe de ressources ou le labo.
Lorsque vous attribuez le rôle Lecteur des services lab sur le groupe de ressources, l’utilisateur peut :
- Afficher tous les labos au sein du groupe de ressources.
Lorsque vous attribuez le rôle Lecteur des services lab sur le groupe de ressources, l’utilisateur peut :
- Afficher uniquement le labo en question.
Gestion des identités et des accès
La page Contrôle d’accès (IAM) du portail Azure permet de configurer le contrôle d’accès en fonction du rôle sur les ressources Azure Lab Services. Vous pouvez utiliser des rôles intégrés pour les individus et les groupes dans Active Directory. La capture d’écran suivante montre l’intégration Active Directory (Azure RBAC) à l’aide du contrôle d’accès (IAM) dans le Portail Microsoft Azure :
Pour connaître les étapes détaillées, consultez Attribuer des rôles Azure à l’aide du portail Azure.
Structure de plan de labo et de groupe de ressources
Votre organisation doit consacrer du temps à la planification de la structure des groupes de ressources et des plans de labo. Ceci est particulièrement important lorsque vous attribuez des rôles sur le groupe de ressources, car cela applique également des autorisations à toutes les ressources du groupe de ressources.
Pour veiller à ce que les utilisateurs disposent uniquement d’un accès aux ressources appropriées :
Créez des groupes de ressources qui contiennent uniquement des ressources liées aux labos.
Organisez les plans de labo et les labos en groupes de ressources distincts en fonction des utilisateurs qui doivent avoir accès.
Par exemple, vous pouvez créer des groupes de ressources distincts pour différents services afin d’isoler les ressources de labo de chaque service. Les créateurs de labos d’un service peuvent ensuite recevoir des autorisations sur le groupe de ressources, ce qui leur accorde uniquement l’accès aux ressources du labo de leur service.
Important
Planifiez la structure des groupes de ressources et des plans de labo en amont, car il n’est pas possible de déplacer des plans de labo ou des labos vers un autre groupe de ressources une fois qu’ils ont été créés.
Accès à plusieurs groupes de ressources
Vous pouvez accorder aux utilisateurs l’accès à plusieurs groupes de ressources. Sur le site web Azure Lab Services, l’utilisateur peut ensuite choisir parmi la liste des groupes de ressources pour afficher ses labos.
Accès à plusieurs plans de labo
Vous pouvez accorder aux utilisateurs l’accès à plusieurs plans de labo. Par exemple, lorsque vous attribuez le rôle Créateur de laboratoire à un utilisateur sur un groupe de ressources qui contient plusieurs plans de labo. L’utilisateur peut ensuite choisir parmi la liste des plans de labo lors de la création d’un labo.
Étapes suivantes
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour