Procédure d’attribution d’un rôle Azure

Le contrôle d’accès en fonction du rôle Azure (Azure RBAC) est le système d’autorisation que vous utilisez pour gérer l’accès aux ressources Azure. Pour accorder l’accès, vous devez attribuer des rôles aux utilisateurs, aux groupes, aux principaux de service ou aux identités managées avec une étendue particulière. Cet article décrit les étapes générales permettant d’attribuer des rôles Azure à l’aide des Portail Azure, d’Azure PowerShell, d’Azure CLI ou de l’API REST.

Étape 1 : Déterminer qui a besoin d’un accès

Vous devez d’abord déterminer qui a besoin d’un accès. Vous pouvez attribuer un rôle à un utilisateur, à un groupe, à un principal de service ou à une identité managée. C’est également ce qu’on appelle un principal de sécurité.

• Utilisateur : personne disposant d’un profil dans Microsoft Entra ID. Vous pouvez également attribuer des rôles aux utilisateurs dans les autres locataires. Pour plus d’informations sur les utilisateurs d’autres organisations, consultez Microsoft Entra B2B.
• Groupe : ensemble d’utilisateurs créés dans l’ID Microsoft Entra. Lorsque vous attribuez un rôle à un groupe, vous l’attribuez également à tous les utilisateurs de ce groupe.
• Principal de service : identité de sécurité utilisée par des applications ou des services pour accéder à des ressources Azure spécifiques. Vous pouvez la considérer comme une identité utilisateur (nom d’utilisateur, mot de passe ou certificat) pour une application.
• Identité managée : identité dans l’ID Microsoft Entra géré automatiquement par Azure. Vous utilisez généralement des identités managées lors du développement d’applications cloud afin de gérer les informations d’identification pour l’authentification auprès des services Azure.

Étape 2 : Sélectionner le rôle approprié

Les autorisations sont regroupées en définition de rôle. Elle est généralement simplement appelée rôle. Vous pouvez opérer une sélection dans une liste de plusieurs rôles intégrés. Si les rôles intégrés ne répondent pas aux besoins spécifiques de votre organisation, vous pouvez créer vos propres rôles personnalisés.

Les rôles sont organisés en rôles de fonction de travail et en rôles d’administrateur privilégié.

Rôles de fonction de travail

Les rôles de fonction de travail permettent la gestion des ressources Azure spécifiques. Par exemple, le rôle de contributeur de machine virtuelle permet à l’utilisateur de créer et gérer des machines virtuelles. Pour sélectionner le rôle de fonction de travail approprié, procédez comme suit :

1. Commencez avec l’article exhaustif Rôles intégrés Azure. Le tableau situé en haut de l’article est un index des détails figurant plus loin dans cet article.

2. Dans cet article, accédez à la catégorie de service (par exemple, calcul, stockage et bases de données) pour la ressource à laquelle vous souhaitez accorder des autorisations. Le moyen le plus simple de trouver ce que vous cherchez est généralement de rechercher dans la page un mot clé pertinent, comme « blob », « machine virtuelle », et ainsi de suite.

3. Passez en revue les rôles répertoriés pour la catégorie de service et identifiez les actions spécifiques dont vous avez besoin. Là encore, commencez toujours par le rôle le plus restrictif.

   Par exemple, si un principal de sécurité doit lire des blobs dans un compte de stockage Azure, mais n’a pas besoin d’un accès en écriture, choisissez Lecteur des données Blob du stockage plutôt que Contributeur aux données Blob du stockage (et absolument pas le rôle Propriétaire des données Blob du stockage de niveau administrateur). Vous pouvez toujours mettre à jour les attributions de rôles ultérieurement, le cas échéant.

4. Si vous ne trouvez pas de rôle approprié, vous pouvez créer un rôle personnalisé.

Rôles d’administrateur privilégiés

Les rôles d’administrateur privilégié sont des rôles qui accordent un accès administrateur privilégié, par exemple la possibilité de gérer les ressources Azure ou d’attribuer des rôles à d’autres utilisateurs. Les rôles suivants sont considérés comme privilégiés et s’appliquent à tous les types de ressources.

Rôle Azure	Autorisations
Propriétaire	Accorde un accès complet pour gérer toutes les ressources Attribuer des rôles dans Azure RBAC
Contributeur	Accorde un accès complet pour gérer toutes les ressources Impossible d'attribuer des rôles dans Azure RBAC Impossible de gérer les affectations dans Azure Blueprints ou de partager des galeries d'images
Contrôle d’accès en fonction du rôle Administration istrateur	Gestion de l’accès utilisateur aux ressources Azure Attribuer des rôles dans Azure RBAC S'attribuer ou attribuer à d'autres le rôle de propriétaire Impossible de gérer l’accès à l’aide d’autres méthodes, telles qu’Azure Policy
Administrateur de l'accès utilisateur	Gestion de l’accès utilisateur aux ressources Azure Attribuer des rôles dans Azure RBAC S'attribuer ou attribuer à d'autres le rôle de propriétaire

Pour connaître les meilleures pratiques lors de l’utilisation d’attributions de rôles d’administrateur privilégié, consultez les meilleures pratiques pour Azure RBAC. Pour plus d’informations, consultez définition de rôle d’administrateur privilégié.

Étape 3 : Identifier l’étendue nécessaire

Étendue représente l’ensemble des ressources auxquelles l’accès s’applique. Dans Azure, vous pouvez spécifier une étendue à quatre niveaux : groupe d’administration, abonnement, groupe de ressources et ressource. Les étendues sont structurées dans une relation parent-enfant. Chaque niveau de hiérarchie rend l’étendue plus spécifique. Vous pouvez attribuer des rôles à n’importe de ces niveaux d’étendue. Le niveau que vous sélectionnez détermine la portée d’application du rôle. Les niveaux inférieurs héritent des autorisations de rôle des niveaux supérieurs.

Lorsque vous attribuez un rôle à une étendue parente, ces autorisations sont héritées par les étendues enfant. Par exemple :

• Si vous attribuez le rôle Lecteur à un utilisateur au niveau de l’étendue de groupe d’administration, cet utilisateur peut lire tous les éléments de tous les abonnements dans le groupe d’administration.
• Si vous attribuez le rôle Lecteur de facturation à un groupe au niveau de l’étendue d’abonnement, les membres de ce groupe peuvent lire les données de facturation de chaque groupe de ressources et de chaque ressource dans l’abonnement.
• Si vous affectez le rôle de contributeur à une application au niveau du groupe de ressources, il peut gérer tous les types de ressources dans ce groupe de ressources, mais aucun groupe de ressources dans l’abonnement.

Il est recommandé d’accorder aux principaux de sécurité les privilèges minimaux dont ils ont besoin pour effectuer leur travail. Évitez d’attribuer des rôles plus larges à des étendues plus importantes, même si cela semble plus pratique dans un premier temps. En limitant les rôles et les étendues, vous limitez les ressources menacées en cas de compromission du principal de sécurité. Pour plus d’informations, consultez Comprendre l’étendue.

Étape 4 : Vérifier vos prérequis

Pour attribuer des rôles, vous devez être connecté avec un utilisateur auquel un rôle disposant d’autorisations d’écriture d’attributions de rôles, comme le contrôle d’accès en fonction du rôle Administration istrateur dans l’étendue que vous essayez d’attribuer le rôle. De même, pour supprimer une attribution de rôle, vous devez disposer de l’autorisation de suppression d’attributions de rôles.

• Microsoft.Authorization/roleAssignments/write
• Microsoft.Authorization/roleAssignments/delete

Si votre compte d’utilisateur n’est pas autorisé à attribuer un rôle dans votre abonnement, un message d’erreur s’affiche indiquant que votre compte « n’a pas l’autorisation d’effectuer l’action « Microsoft.Authorization/roleAssignments/write ». Dans ce cas, contactez les administrateurs de votre abonnement, car ils peuvent attribuer les autorisations en votre nom.

Si vous utilisez un principal de service pour attribuer des rôles, vous pouvez obtenir l’erreur « Privilèges insuffisants pour terminer l’opération ». Cette erreur est probablement due au fait qu’Azure tente de rechercher l’identité du bénéficiaire dans l’ID Microsoft Entra et que le principal du service ne peut pas lire l’ID Microsoft Entra par défaut. Dans ce cas, vous devez accorder au principal de service les autorisations nécessaires pour lire les données dans l’annuaire. Sinon, si vous utilisez Azure CLI, vous pouvez créer l’attribution de rôle à l’aide de l’ID d’objet du bénéficiaire pour ignorer la recherche Microsoft Entra. Pour plus d’informations, consultez Résoudre les problèmes liés à RBAC Azure.

Étape 5 : Affecter le rôle

Une fois que vous connaissez le principal de sécurité, le rôle et l’étendue, vous pouvez attribuer le rôle. Vous pouvez attribuer des rôles en utilisant le portail Azure, Azure PowerShell, Azure CLI, des Kits de développement logiciel (SDK) Azure ou des API REST.

Vous pouvez avoir jusqu’à 4 000 attributions de rôles dans chaque abonnement. Cette limite comprend les attributions de rôles au niveau de l’abonnement, du groupe de ressources et des étendues de ressources. Vous pouvez avoir jusqu’à 500 attributions de rôles dans chaque groupe d'administration. Pour plus d’informations, consultez Résoudre les problèmes liés aux limites RBAC Azure.

Consultez les articles suivants pour obtenir la procédure détaillée d’attribution de rôles.

• Attribuer des rôles Azure à l’aide du portail Azure
• Attribuer des rôles Azure à l’aide d’Azure PowerShell
• Attribuer des rôles Azure à l’aide d’Azure CLI
• Attribuer des rôles Azure à l’aide de l’API REST

Étapes suivantes

• Tutoriel : Accorder à un utilisateur l’accès aux ressources Azure à l’aide du portail Azure