Modifier

Partager via


Affecter un utilisateur en tant qu’administrateur d’un abonnement Azure avec des conditions

Pour faire d’un utilisateur un administrateur d’un abonnement Azure, vous lui attribuez le rôle Propriétaire au niveau de l’étendue de l’abonnement. Le rôle Propriétaire donne à l’utilisateur un accès total à toutes les ressources de l’abonnement, notamment l’autorisation d’accorder l’accès à d’autres personnes. Le rôle Propriétaire étant un rôle hautement privilégié, Microsoft vous recommande d’ajouter une condition pour restreindre l’attribution de rôle. Par exemple, vous pouvez autoriser un utilisateur à n’attribuer que le rôle Contributeur de machine virtuelle aux principaux de service.

Cet article explique comment affecter un utilisateur en tant qu’administrateur d’un abonnement Azure avec des conditions. Ces étapes sont les mêmes que celles de n’importe quelle autre attribution de rôle.

Prérequis

Pour attribuer des rôles Azure, vous devez disposer de :

Étape 1 : Ouvrir l’abonnement

Effectuez les étapes suivantes :

  1. Connectez-vous au portail Azure.

  2. Dans la zone de recherche située en haut, recherchez les abonnements.

  3. Cliquez sur l’abonnement que vous souhaitez utiliser.

    Voici un exemple d’abonnement.

    Vue d’ensemble de la capture d’écran des abonnements

Étape 2 : Ouvrir la page Ajouter une attribution de rôle

La page Contrôle d’accès (IAM) vous permet généralement d’attribuer des rôles afin d’accorder l’accès aux ressources Azure. Elle est également connue sous le nom de gestion des identités et des accès (IAM) et apparaît à plusieurs endroits du portail Azure.

  1. Cliquez sur Contrôle d’accès (IAM) .

    Voici un exemple de page Contrôle d'accès (IAM) pour un abonnement.

    Capture d’écran de la page Contrôle d’accès (IAM) d’un abonnement.

  2. Cliquez sur l’onglet Attributions de rôles afin d’afficher les attributions de rôles pour cette étendue.

  3. Cliquez sur Ajouter>Ajouter une attribution de rôle.

    Si vous n’avez pas les autorisations pour attribuer des rôles, l’option Ajouter une attribution de rôle sera désactivée.

    Capture d’écran du menu Ajouter > Ajouter une attribution de rôle.

    La page Ajouter une attribution de rôle s’ouvre.

Étape 3 : Sélectionner le rôle Propriétaire

Le rôle Propriétaire octroie un accès total à la gestion de toutes les ressources, notamment la possibilité d’attribuer des rôles dans Azure RBAC. Vous devez disposer d'un maximum de trois propriétaires d’abonnement afin de réduire le risque de violation par un propriétaire compromis.

  1. Sous l’onglet Rôle, sélectionnez l’onglet Rôles d’administrateur privilégiés.

    Capture d’écran de la page Ajouter une attribution de rôle avec l’onglet Rôles d’administrateur privilégiés sélectionné.

  2. Sélectionnez le rôle Propriétaire.

  3. Sélectionnez Suivant.

Étape 4 : Sélectionner les utilisateurs ayant besoin d’un accès

Effectuez les étapes suivantes :

  1. Dans l’onglet Membres, sélectionnez Utilisateur, groupe ou principal du service.

    Capture d’écran de la page Ajouter une attribution de rôle avec l’onglet Ajouter des membres.

  2. Cliquez sur Sélectionner des membres.

  3. Recherchez et sélectionnez l’utilisateur.

    Vous pouvez entrer du texte dans la zone Sélectionner pour rechercher des noms d’affichage ou des adresses e-mail dans le répertoire.

    Capture d’écran du volet Sélectionner des membres.

  4. Cliquez sur Enregistrer pour ajouter l’utilisateur à la liste Membres.

  5. Dans la zone de texte Description, entrez une description facultative pour cette attribution de rôle.

    Par la suite, vous pouvez afficher cette description dans la liste des attributions de rôle.

  6. Sélectionnez Suivant.

Étape 5 : Ajouter une condition

Le rôle Propriétaire étant un rôle hautement privilégié, Microsoft vous recommande d’ajouter une condition pour restreindre l’attribution de rôle.

  1. Sous l’onglet Conditions sous Ce que l’utilisateur peut faire, sélectionnez l’option Autoriser l’utilisateur à attribuer uniquement des rôles sélectionnés à des principaux sélectionnés (moins de privilèges).

    Capture d’écran de l’ajout d’une attribution de rôle avec l’option de contrainte sélectionnée.

  2. Sélectionnez Sélectionner des rôles et des principaux.

    La page Ajouter une condition d’attribution de rôle s’affiche avec une liste de modèles de conditions.

    Capture d’écran de la condition Ajouter une attribution de rôle avec une liste de modèles de conditions.

  3. Sélectionnez un modèle de condition, puis sélectionnez Configurer.

    Modèle de conditions Sélectionnez ce modèle pour
    Limiter les rôles Autoriser l’utilisateur à n’attribuer que les rôles que vous sélectionnez
    Limiter les rôles et les types principaux Autoriser l’utilisateur à n’attribuer que les rôles que vous sélectionnez
    Autoriser l’utilisateur à attribuer uniquement ces rôles aux types de principaux que vous sélectionnez (utilisateurs, groupes ou principaux de service)
    Limiter les rôles et les principaux Autoriser l’utilisateur à n’attribuer que les rôles que vous sélectionnez
    Autoriser l’utilisateur à n’attribuer ces rôles qu’aux principaux que vous sélectionnez

    Conseil

    Si vous souhaitez autoriser la plupart des attributions de rôles, mais ne pas autoriser d’attributions de rôles spécifiques, vous pouvez utiliser l’éditeur de conditions avancé et ajouter manuellement une condition. Consultez cet exemple Exemple : autoriser la plupart des rôles, mais ne pas autoriser d’autres utilisateurs à attribuer des rôles.

  4. Dans le volet Configurer, ajoutez les configurations requises.

    Capture d’écran du volet Configurer pour une condition avec une sélection ajoutée.

  5. Sélectionnez Enregistrer pour ajouter la condition à l’attribution de rôle.

Étape 6 : Attribuer le rôle

Effectuez les étapes suivantes :

  1. Sous l’onglet Vérifier + attribuer, vérifiez les paramètres d’attribution de rôle.

  2. Cliquez sur Vérifier + attribuer pour attribuer le rôle.

    Après quelques instants, le rôle Propriétaire est attribué à l’utilisateur au niveau de l’abonnement.

    Capture d’écran de la liste d’attributions de rôle après l’attribution du rôle.