Partager via


Exemples de délégation de la gestion d’attribution de rôle Azure avec des conditions

Cet article répertorie des exemples de délégation de la gestion d’attribution de rôle Azure à d’autres utilisateurs avec des conditions.

Prérequis

Pour plus d’informations sur les prérequis à l’ajout ou à la modification des conditions d’attribution de rôle, consultez Prérequis aux conditions.

Exemple : limiter les rôles

Cette condition permet à un délégué d’ajouter ou de supprimer uniquement des attributions de rôles pour les rôles Contributeur de sauvegarde ou Lecteur de sauvegarde.

Vous devez ajouter cette condition à toutes les attributions de rôles pour le délégué qui incluent les actions suivantes.

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

Diagramme des attributions de rôles contraintes aux rôles Contributeur de sauvegarde ou Lecteur de sauvegarde.

Voici les paramètres pour ajouter cette condition à l’aide du Portail Azure et d’un modèle de condition.

Condition Setting
Modèle Limiter les rôles
Rôles Contributeur de sauvegarde
Lecteur de sauvegarde

Exemple : limiter les rôles et les types principaux

Cette condition permet à un délégué d’ajouter ou de supprimer uniquement des attributions de rôles pour les rôles Contributeur de sauvegarde ou Lecteur de sauvegarde. En outre, le délégué peut uniquement attribuer ces rôles aux principaux de type d’utilisateur ou de groupe.

Vous devez ajouter cette condition à toutes les attributions de rôles pour le délégué qui incluent les actions suivantes.

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

Diagramme des attributions de rôles contraintes des rôles Contributeur de sauvegarde ou Lecteur de sauvegarde et des types principaux utilisateur ou groupe.

Voici les paramètres pour ajouter cette condition à l’aide du Portail Azure et d’un modèle de condition.

Condition Setting
Modèle Limiter les rôles et les types principaux
Rôles Contributeur de sauvegarde
Lecteur de sauvegarde
Types de principal Utilisateurs
Groupes

Exemple : limiter les rôles et les groupes spécifiques

Cette condition permet à un délégué d’ajouter ou de supprimer uniquement des attributions de rôles pour les rôles Contributeur de sauvegarde ou Lecteur de sauvegarde. En outre, le délégué peut uniquement attribuer ces rôles à des groupes spécifiques nommés Marketing (28c35fea-2099-4cf5-8ad9-473547bc9423) ou Sales (86951b8b-723a-407b-a74a-1bca3f0c95d0).

Vous devez ajouter cette condition à toutes les attributions de rôles pour le délégué qui incluent les actions suivantes.

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

Diagramme des attributions de rôles contraintes aux rôles Contributeur de sauvegarde ou Lecteur de sauvegarde et aux groupes Marketing ou Sales.

Voici les paramètres pour ajouter cette condition à l’aide du Portail Azure et d’un modèle de condition.

Condition Setting
Modèle Limiter les rôles et les principaux
Rôles Contributeur de sauvegarde
Lecteur de sauvegarde
Principaux Marketing
Sales

Exemple : limiter la gestion des machines virtuelles

Cette condition permet à un délégué d’ajouter ou de supprimer uniquement des attributions de rôles pour les rôles de Connexion de l’administrateur de machine virtuelle ou Connexion de l’utilisateur de machine virtuelle. En outre, le délégué peut uniquement attribuer ces rôles à un utilisateur spécifique nommé Dara (ea585310-c95c-4a68-af22-49af4363bbb1).

Cette condition est utile lorsque vous souhaitez autoriser un délégué à attribuer un rôle de connexion de machine virtuelle à lui-même pour une machine virtuelle qu’il vient de créer.

Vous devez ajouter cette condition à toutes les attributions de rôles pour le délégué qui incluent les actions suivantes.

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

Diagramme des attributions de rôles contraintes aux rôles de Connexion de l’administrateur de machine virtuelle ou Connexion de l’utilisateur de machine virtuelle et à un utilisateur spécifique.

Voici les paramètres pour ajouter cette condition à l’aide du Portail Azure et d’un modèle de condition.

Condition Setting
Modèle Limiter les rôles et les principaux
Rôles Connexion de l’administrateur aux machines virtuelles
Connexion de l’utilisateur aux machines virtuelles
Principaux Dara

Exemple : limiter la gestion des clusters AKS

Cette condition permet à un délégué d’ajouter ou de supprimer uniquement des attributions de rôles pour les rôles Administrateur RBAC Azure Kubernetes Service, Administrateur de cluster RBAC Azure Kubernetes Service, Lecteur RBAC Azure Kubernetes Service ou Enregistreur RBAC Azure Kubernetes Service. En outre, le délégué peut uniquement attribuer ces rôles à un utilisateur spécifique nommé Dara (ea585310-c95c-4a68-af22-49af4363bbb1).

Cette condition est utile lorsque vous souhaitez autoriser un délégué à attribuer des rôles d’autorisation de plan de données de cluster AKS (Azure Kubernetes Service) à lui-même pour un cluster qu’il vient de créer.

Vous devez ajouter cette condition à toutes les attributions de rôles pour le délégué qui incluent les actions suivantes.

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

Diagramme des attributions de rôles contraintes aux rôles d’Administrateur RBAC Azure Kubernetes Service, d’Administrateur de cluster RBAC Azure Kubernetes Service, de Lecteur RBAC Azure Kubernetes Service ou d’Enregistreur RBAC Azure Kubernetes Service et à un utilisateur spécifique.

Voici les paramètres pour ajouter cette condition à l’aide du Portail Azure et d’un modèle de condition.

Exemple : limiter la gestion d’Azure Container Registry

Cette condition permet à un délégué d’ajouter ou de supprimer uniquement des attributions de rôles pour le rôle AcrPull. En outre, le délégué peut uniquement attribuer ces rôles aux principaux de type de principal de service.

Cette condition est utile lorsque vous souhaitez autoriser un développeur d’attribuer le rôle AcrPull à une identité managée lui-même afin qu’elle puisse extraire des images à partir d’Azure Container Registry (ACR).

Vous devez ajouter cette condition à toutes les attributions de rôles pour le délégué qui incluent les actions suivantes.

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

Diagramme des attributions de rôles contraintes au rôle AcrPull et au type de principal de service.

Voici les paramètres pour ajouter cette condition à l’aide du Portail Azure et d’un modèle de condition.

Condition Setting
Modèle Limiter les rôles et les types principaux
Rôles AcrPull
Types de principal Principaux de service

Exemple : limiter l’ajout d’attributions de rôles

Cette condition permet à un délégué d’ajouter uniquement des attributions de rôles pour les rôles Contributeur de sauvegarde ou Lecteur de sauvegarde. Le délégué peut supprimer toutes les attributions de rôles.

Vous devez ajouter cette condition à toutes les attributions de rôles pour le délégué qui incluent l’action suivante.

  • Microsoft.Authorization/roleAssignments/write

Diagramme de l’ajout et de la suppression des attributions de rôles contraintes aux rôles Contributeur de sauvegarde ou Lecteur de sauvegarde.

Aucun

Exemple : autoriser la plupart des rôles, mais ne pas autoriser d’autres utilisateurs à attribuer des rôles

Cette condition permet à un délégué d’ajouter ou de supprimer des attributions de rôles pour tous les rôles, à l’exception des rôles de Propriétaire, Administrateur du contrôle d’accès en fonction du rôle et Administrateur d’accès utilisateur.

Cette condition est utile lorsque vous souhaitez autoriser un délégué à attribuer la plupart des rôles, mais pas à autoriser le délégué à autoriser d’autres utilisateurs à attribuer des rôles.

Remarque

Il convient d'être prudent lors de l'utilisation de cette condition. Si un nouveau rôle intégré ou personnalisé est ajouté ultérieurement et inclut l’autorisation de créer des attributions de rôles, cette condition n’empêchera pas le délégué d’attribuer des rôles. La condition doit être mise à jour pour inclure le nouveau rôle intégré ou personnalisé.

Vous devez ajouter cette condition à toutes les attributions de rôles pour le délégué qui incluent les actions suivantes.

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

Diagramme d’ajout et de suppression d’attributions de rôles pour tous les rôles, à l’exception du Propriétaire, de l’Administrateur du contrôle d’accès en fonction du rôle et de l’Administrateur de l’accès utilisateur.

Voici les paramètres pour ajouter cette condition à l’aide du Portail Azure et d’un modèle de condition.

Condition Setting
Modèle Autoriser tous les rôles à l’exception de rôles spécifiques
Exclure les rôles Propriétaire
Administrateur de contrôle d’accès en fonction du rôle
Administrateur de l'accès utilisateur

Étapes suivantes