Présentation de l’accès en fonction du rôle à votre espace de travail Azure Quantum
Découvrez les différents principaux et rôles de sécurité que vous pouvez utiliser pour gérer l’accès à votre espace de travail Azure Quantum.
Contrôle d’accès en fonction du rôle Azure (RBAC)
Le contrôle d’accès en fonction du rôle Azure (Azure RBAC) est le système d’autorisation que vous utilisez pour gérer l’accès aux ressources Azure, comme un espace de travail. Pour accorder l’accès, vous attribuez des rôles à un principal de sécurité.
Principal de sécurité
Un principal de sécurité est un objet qui représente un utilisateur, un groupe, un principal de service ou une identité managée.
| Principal de sécurité | Définition |
|---|---|
| Utilisateur | Un compte d’utilisateur qui se connecte à Azure pour créer, gérer et utiliser des ressources. |
| Groupe | Groupe d’utilisateurs. Permet de gérer les utilisateurs qui ont besoin des mêmes accès et autorisations aux ressources. |
| Principal du service | Identité utilisateur pour une application, un service ou une plateforme qui doit accéder aux ressources. |
| Identité gérée | Une identité managée automatiquement dans Azure Active Directory (Azure AD) pour les applications à utiliser lors de la connexion aux ressources qui prennent en charge l’authentification Azure AD. |
Rôle
Lorsque vous accordez l’accès à un principal de sécurité, vous attribuez un rôle intégré ou créez un rôle personnalisé. Les rôles intégrés les plus couramment utilisés sont Propriétaire, Contributeur et Lecteur.
| Rôle | Niveau d’accès |
|---|---|
| Owner | Octroie un accès total pour gérer toutes les ressources, notamment la possibilité d’attribuer des rôles dans Azure RBAC. |
| Contributeur | Octroie un accès complet pour gérer toutes les ressources, mais ne vous permet pas d’attribuer des rôles dans Azure RBAC. |
| Lecteur | Voir toutes les ressources, mais ne vous autorise pas à apporter des modifications. |
Étendue
Les rôles sont attribués à une étendue particulière. Étendue représente l’ensemble des ressources auxquelles l’accès s’applique. Les étendues sont structurées dans une relation parent-enfant. Chaque niveau de hiérarchie rend l’étendue plus spécifique. Le niveau que vous sélectionnez détermine la portée d’application du rôle. Les niveaux inférieurs héritent des autorisations de rôle des niveaux supérieurs. Vous pouvez attribuer des rôles à quatre niveaux d’étendue : groupe d’administration, abonnement, groupe de ressources ou ressource.
| Étendue | Description |
|---|---|
| Groupe d’administration | Vous aide à gérer l’accès, la stratégie et la conformité pour plusieurs abonnements. Tous les abonnements dans un groupe d’administration héritent automatiquement des conditions appliquées à ce groupe d’administration. Vous aurez peut-être besoin d’un groupe d’administration si votre organisation dispose de plusieurs abonnements. |
| Abonnement | Associe logiquement les comptes d’utilisateur aux ressources qu’ils créent. Un compte d’utilisateur est une identité d’utilisateur et un ou plusieurs abonnements. Un abonnement représente un regroupement de ressources Azure. La facture est générée dans l’étendue de l’abonnement. Vous devez disposer d’un compte avec un abonnement actif pour créer des ressources Azure. Pour connaître les options d’abonnement, consultez Créer un espace de travail Azure Quantum. |
| Groupe de ressources | Conteneur qui contient les ressources associées d’une solution Azure. Le groupe de ressources inclut les ressources que vous voulez gérer en tant que groupe. Par exemple, les ressources suivantes sont requises pour exécuter des applications dans Azure Quantum :
|
| Ressource | Instance d’un service que vous pouvez créer, comme un espace de travail ou un compte de stockage. |
Remarque
Étant donné que l’accès peut être étendu à plusieurs niveaux dans Azure, un utilisateur peut avoir des rôles différents à chaque niveau. Par exemple, un utilisateur disposant d’un accès propriétaire à un espace de travail peut ne pas disposer d'un accès propriétaire à un groupe de ressources contenu dans cet espace de travail.
Conditions requises pour la création d’un espace de travail
Lorsque vous créez un espace de travail, vous sélectionnez d’abord un abonnement, un groupe de ressources et un compte de stockage à associer à l’espace de travail. Votre capacité à créer un espace de travail dépend des niveaux d’accès dont vous disposez, en commençant par l’étendue de l’abonnement. Pour afficher votre autorisation pour différentes ressources, consultez Vérifier vos attributions de rôles.
Propriétaire de l’abonnement
Les propriétaires d’abonnements peuvent créer des espaces de travail à l’aide des options de création rapide ou de création avancée. Vous pouvez choisir un groupe de ressources et un compte de stockage qui existent déjà sous l’abonnement ou en créer de nouveaux. Vous avez également la possibilité d’attribuer des rôles à d’autres utilisateurs.
Collaborateur de l’abonnement
Les contributeurs d’abonnement peuvent créer des espaces de travail à l’aide de l’option De création avancée.
Pour créer un compte de stockage, vous devez sélectionner un groupe de ressources existant dont vous êtes propriétaire.
Pour sélectionner un compte de stockage existant, vous devez être propriétaire du compte de stockage. Vous devez également sélectionner le groupe de ressources existant auquel appartient le compte de stockage.
Les contributeurs d’abonnement ne peuvent pas attribuer de rôles à d’autres utilisateurs.
Lecteur de l’abonnement
Les lecteurs d’abonnement ne peuvent pas créer d’espaces de travail. Vous pouvez afficher toutes les ressources créées sous l’abonnement, mais ne peut pas apporter de modifications ni attribuer de rôles.
Vérifier vos attributions de rôle
Vérifier vos abonnements
Pour afficher la liste de vos abonnements et rôles associés :
- Connectez-vous au portail Azure.
- Sous l’en-tête des services Azure, sélectionnez Abonnements. Si vous ne voyez pas Abonnements ici, utilisez la zone de recherche pour la trouver.
- Le filtre Abonnements en regard de la zone de recherche peut être défini par défaut sur Abonnements == filtre global. Pour afficher la liste de tous vos abonnements, sélectionnez le filtre Abonnements et désélectionnez « Sélectionner uniquement les abonnements sélectionnés dans le... » boîte. Ensuite, sélectionnez Appliquer. Le filtre doit ensuite afficher les abonnements == all.
Vérifier vos ressources
Pour vérifier l’attribution de rôle que vous ou un autre utilisateur dispose d’une ressource particulière, consultez Vérifier l’accès d’un utilisateur aux ressources Azure.
Affecter des rôles
Pour ajouter de nouveaux utilisateurs à un espace de travail, vous devez être propriétaire de l’espace de travail. Pour accorder l’accès à 10 utilisateurs ou moins à votre espace de travail, consultez Partager l’accès à votre espace de travail Azure Quantum. Pour accorder l’accès à plus de 10 utilisateurs, consultez Ajouter un groupe à votre espace de travail Azure Quantum.
Pour attribuer des rôles pour n’importe quelle ressource à n’importe quelle étendue, y compris au niveau de l’abonnement, consultez Affecter des rôles Azure à l’aide du Portail Azure.
Dépannage
Pour obtenir des solutions aux problèmes courants, consultez Résoudre les problèmes liés à Azure Quantum : Création d’un espace de travail Azure Quantum.
Lorsque vous créez une ressource dans Azure, par exemple un espace de travail, vous n’êtes pas directement le propriétaire de la ressource. Votre rôle est hérité du rôle d’étendue le plus élevé auquel vous êtes autorisé dans cet abonnement.
Lorsque vous créez des attributions de rôles, elles peuvent parfois prendre jusqu’à une heure pour prendre effet sur les autorisations mises en cache sur la pile.