Configurer des autorisations de service Azure VM Image Builder à l’aide de PowerShell
S’applique à : ✔️ Machines virtuelles Linux ✔️ Groupes identiques flexibles
Lorsque vous vous inscrivez à Azure VM Image Builder, cela accorde l’autorisation de service de créer, de gérer et de supprimer un groupe de ressources intermédiaire. Le service dispose également des droits pour ajouter des ressources à un groupe de ressources requis pour la génération de l’image. Pendant une inscription réussie, votre abonnement obtient l’accès à un nom de principal du service (SPN) VM Image Builder.
Si vous souhaitez qu’Azure VM Image Builder distribue des images, vous devez créer une identité affectée par l’utilisateur dans Azure, avec des autorisations pour lire et écrire des images. Par exemple, vous pouvez distribuer des images à des images managées ou à Azure Compute Gallery. Si vous accédez au Stockage Azure, l’identité affectée par l’utilisateur que vous créez nécessite des autorisations pour lire des conteneurs privés ou publics.
Vous devez configurer les autorisations et les privilèges avant de générer une image. Les sections suivantes détaillent comment configurer les scénarios possibles à l’aide de PowerShell.
Créer une identité managée attribuée par l’utilisateur
Azure VM Image Builder vous oblige à créer une identité managée attribuée par l’utilisateur Azure. VM Image Builder utilise cette identité pour lire les images, écrire les images et accéder aux comptes Stockage Azure. Vous octroyez l’autorisation d’identité pour effectuer des actions spécifiques dans votre abonnement.
Notes
L’identité managée affectée par l’utilisateur est la bonne façon d’accorder des autorisations aux groupes de ressources d’images. Le SPN est déconseillé à cet effet.
L’exemple suivant montre comment créer une identité managée attribuée par l’utilisateur Azure. Remplacez les paramètres d’espaces réservés pour définir vos variables.
| Paramètre | Description |
|---|---|
| <Groupe de ressources> | Le groupe de ressources dans lequel vous souhaitez créer l’identité managée attribuée par l'utilisateur. |
## Add AZ PS module to support AzUserAssignedIdentity
Install-Module -Name Az.ManagedServiceIdentity
$parameters = @{
Name = 'aibIdentity'
ResourceGroupName = '<Resource group>'
}
# create identity
New-AzUserAssignedIdentity @parameters
Pour plus d’informations, voir Identité managée affectée par l’utilisateur Azure.
Autoriser Azure VM Image Builder à distribuer des images
Pour que Azure Image Builder distribue des images, le service Azure Image Builder doit être autorisé à injecter les images dans des groupes de ressources. Pour octroyer les autorisations requises, vous devez créer une identité managée attribuée par l’utilisateur et lui octroyer des droits sur le groupe de ressources dans lequel l’image est générée. Azure VM Image Builder ne dispose pas d’autorisation d’accès aux ressources d’autres groupes de ressources dans l’abonnement. Vous devez effectuer des actions explicites pour permettre l’accès afin d’éviter l’échec de vos builds.
Vous n’avez pas besoin d’octroyer au contributeur d’identités managées attribuées par l’utilisateur des droits sur le groupe de ressources pour distribuer des images. Toutefois, l’identité managée attribuée par l’utilisateur a besoin des autorisations Actions Azure suivantes dans le groupe de ressources de distribution :
Microsoft.Compute/images/write
Microsoft.Compute/images/read
Microsoft.Compute/images/delete
Si vous souhaitez distribuer à Azure Compute Gallery, vous avez également besoin des éléments suivants :
Microsoft.Compute/galleries/read
Microsoft.Compute/galleries/images/read
Microsoft.Compute/galleries/images/versions/read
Microsoft.Compute/galleries/images/versions/write
Autorisation de personnaliser des images existantes
Pour qu’Azure VM Image Builder génère des images personnalisées sources le service doit être autorisé à lire les images dans ces groupes de ressources. Pour octroyer les autorisations requises, créez une identité managée attribuée par l’utilisateur et octroyez-lui des droits sur le groupe de ressources dans lequel se trouve l’image.
Voici comment créer à partir d’une image personnalisée existante :
Microsoft.Compute/images/read
Voici comment générer des images à partir d’une version existante d’Azure Compute Gallery :
Microsoft.Compute/galleries/read
Microsoft.Compute/galleries/images/read
Microsoft.Compute/galleries/images/versions/read
Autorisation de personnaliser des images sur vos réseaux virtuels
Azure VM Image Builder a la capacité de déployer et d’utiliser un réseau virtuel existant dans votre abonnement, ce qui permet aux personnalisations d’accéder aux ressources connectées.
Vous n’avez pas besoin d’octroyer au contributeur d’identités managées attribuées par l’utilisateur des droits sur le groupe de ressources pour déployer une machine virtuelle sur le réseau virtuel existant. Toutefois, l’identité managée attribuée par l’utilisateur a besoin des autorisations Actions Azure suivantes dans le groupe de ressources du réseau virtuel :
Microsoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/subnets/join/action
Créer une définition de rôle Azure
Les exemples suivants créent une définition de rôle Azure à partir des actions décrites dans les sections précédentes. Les exemples sont appliqués au niveau du groupe de ressources. Évaluez et testez si les exemples sont suffisamment granulaires pour répondre à vos exigences.
Les actions d’image autorisent la lecture et l’écriture. Décidez des éléments appropriés pour votre environnement. Par exemple, créez un rôle pour permettre à Azure VM Image Builder de lire des images à partir du groupe de ressources exemple-rg-1 et d’écrire des images dans le groupe de ressources exemple-rg-2.
Exemple de rôle d’image personnalisée Azure
L’exemple suivant crée un rôle Azure pour utiliser et distribuer une image personnalisée source. Vous octroyez ensuite le rôle personnalisé à l’identité managée attribuée par l’utilisateur pour Azure VM Image Builder.
Pour simplifier le remplacement de valeurs dans l’exemple, définissez les variables suivantes en premier. Remplacez les paramètres d’espaces réservés pour définir vos variables.
| Paramètre | Description |
|---|---|
| <Identifiant d’abonnement> | Votre ID d’abonnement Azure. |
| <Groupe de ressources> | Groupes de ressources pour l’image personnalisée. |
$sub_id = "<Subscription ID>"
# Resource group - image builder will only support creating custom images in the same Resource Group as the source managed image.
$imageResourceGroup = "<Resource group>"
$identityName = "aibIdentity"
# Use a web request to download the sample JSON description
$sample_uri="https://raw.githubusercontent.com/azure/azvmimagebuilder/master/solutions/12_Creating_AIB_Security_Roles/aibRoleImageCreation.json"
$role_definition="aibRoleImageCreation.json"
Invoke-WebRequest -Uri $sample_uri -Outfile $role_definition -UseBasicParsing
# Create a unique role name to avoid clashes in the same Azure Active Directory domain
$timeInt=$(get-date -UFormat "%s")
$imageRoleDefName="Azure Image Builder Image Def"+$timeInt
# Update the JSON definition placeholders with variable values
((Get-Content -path $role_definition -Raw) -replace '<subscriptionID>',$sub_id) | Set-Content -Path $role_definition
((Get-Content -path $role_definition -Raw) -replace '<rgName>', $imageResourceGroup) | Set-Content -Path $role_definition
((Get-Content -path $role_definition -Raw) -replace 'Azure Image Builder Service Image Creation Role', $imageRoleDefName) | Set-Content -Path $role_definition
# Create a custom role from the aibRoleImageCreation.json description file.
New-AzRoleDefinition -InputFile $role_definition
# Get the user-identity properties
$identityNameResourceId=$(Get-AzUserAssignedIdentity -ResourceGroupName $imageResourceGroup -Name $identityName).Id
$identityNamePrincipalId=$(Get-AzUserAssignedIdentity -ResourceGroupName $imageResourceGroup -Name $identityName).PrincipalId
# Grant the custom role to the user-assigned managed identity for Azure Image Builder.
$parameters = @{
ObjectId = $identityNamePrincipalId
RoleDefinitionName = $imageRoleDefName
Scope = '/subscriptions/' + $sub_id + '/resourceGroups/' + $imageResourceGroup
}
New-AzRoleAssignment @parameters
Exemple de rôle Azure de réseau virtuel existant
L’exemple suivant crée un rôle Azure pour utiliser et distribuer une image du réseau virtuel existant. Vous octroyez ensuite le rôle personnalisé à l’identité managée attribuée par l’utilisateur pour Azure VM Image Builder.
Pour simplifier le remplacement de valeurs dans l’exemple, définissez les variables suivantes en premier. Remplacez les paramètres d’espaces réservés pour définir vos variables.
| Paramètre | Description |
|---|---|
| <Identifiant d’abonnement> | Votre ID d’abonnement Azure. |
| <Groupe de ressources> | Groupe de ressources de réseau virtuel. |
$sub_id = "<Subscription ID>"
$res_group = "<Resource group>"
$identityName = "aibIdentity"
# Use a web request to download the sample JSON description
$sample_uri="https://raw.githubusercontent.com/azure/azvmimagebuilder/master/solutions/12_Creating_AIB_Security_Roles/aibRoleNetworking.json"
$role_definition="aibRoleNetworking.json"
Invoke-WebRequest -Uri $sample_uri -Outfile $role_definition -UseBasicParsing
# Create a unique role name to avoid clashes in the same AAD domain
$timeInt=$(get-date -UFormat "%s")
$networkRoleDefName="Azure Image Builder Network Def"+$timeInt
# Update the JSON definition placeholders with variable values
((Get-Content -path $role_definition -Raw) -replace '<subscriptionID>',$sub_id) | Set-Content -Path $role_definition
((Get-Content -path $role_definition -Raw) -replace '<vnetRgName>', $res_group) | Set-Content -Path $role_definition
((Get-Content -path $role_definition -Raw) -replace 'Azure Image Builder Service Networking Role',$networkRoleDefName) | Set-Content -Path $role_definition
# Create a custom role from the aibRoleNetworking.json description file
New-AzRoleDefinition -InputFile $role_definition
# Get the user-identity properties
$identityNameResourceId=$(Get-AzUserAssignedIdentity -ResourceGroupName $imageResourceGroup -Name $identityName).Id
$identityNamePrincipalId=$(Get-AzUserAssignedIdentity -ResourceGroupName $imageResourceGroup -Name $identityName).PrincipalId
# Assign the custom role to the user-assigned managed identity for Azure Image Builder
$parameters = @{
ObjectId = $identityNamePrincipalId
RoleDefinitionName = $networkRoleDefName
Scope = '/subscriptions/' + $sub_id + '/resourceGroups/' + $res_group
}
New-AzRoleAssignment @parameters