Exercice - Visualiser et gérer un rôle Azure personnalisé

  • 7 minutes

Dans cette unité, vous allez visualiser, mettre à jour et supprimer le rôle Azure personnalisé que vous avez créé au cours de l’exercice précédent.

Visualiser les rôles personnalisés dans le portail

Nous allons utiliser le portail Azure pour voir les rôles personnalisés dans votre abonnement.

  1. Connectez-vous au portail Azure en utilisant le même compte que celui utilisé pour l’exercice précédent.

  2. Recherchez et sélectionnez Abonnements dans la partie supérieure du portail Azure.

  3. Sélectionnez l’abonnement auquel vous avez associé votre rôle personnalisé.

  4. Sélectionnez Contrôle d’accès (IAM)>Rôles.

    Screenshot that how to get to Access control (IAM) and Roles.

  5. Sélectionnez Type>CustomRole.

    Screenshot that shows custom roles selected from drop-down list.

    Vous obtiendrez une liste de tous les rôles personnalisés de votre organisation.

Mettre à jour le rôle personnalisé

Nous devons mettre à jour le rôle Opérateur d’ordinateur virtuel afin d’ajouter des autorisations pour une opération de supervision. Nous allons mettre à jour ce rôle personnalisé pour y inclure l’action Microsoft.Insights/diagnosticSettings/.

  1. Sélectionnez Cloud Shell dans la partie supérieure droite du portail Azure.

  2. Tapez code dans Cloud Shell.

  3. Collez la définition ci-dessous dans l’éditeur.

    {
 "Name": "Virtual Machine Operator",
 "IsCustom": true,
 "Description": "Can monitor and restart virtual machines.",
 "Actions": [
   "Microsoft.Storage/*/read",
   "Microsoft.Network/*/read",
   "Microsoft.Compute/*/read",
   "Microsoft.Compute/virtualMachines/start/action",
   "Microsoft.Compute/virtualMachines/restart/action",
   "Microsoft.Authorization/*/read",
   "Microsoft.ResourceHealth/availabilityStatuses/read",
   "Microsoft.Resources/subscriptions/resourceGroups/read",
   "Microsoft.Insights/alertRules/*",
   "Microsoft.Insights/diagnosticSettings/*",
   "Microsoft.Support/*"
 ],
"NotActions": [],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
   "/subscriptions/subscriptionId1"
 ]
}

  4. Dans la section AssignableScopes, remplacez subscriptionId1 par votre ID d’abonnement. Si vous n’avez pas enregistré cette valeur dans l’exercice précédent, exécutez la commande suivante pour l’obtenir :

     az account list  --output json | jq '.[] | .id, .name'

  5. Sélectionnez Enregistrer dans le menu à trois points du côté supérieur droit du volet Cloud Shell (ou appuyez sur Ctrl + S dans Windows ou CMD + S dans macOS).

  6. Entrez vm-operator-role-new.json comme nom de fichier, puis sélectionnez Enregistrer.

  7. Sélectionnez Fermer l’éditeur dans le menu à trois points du côté supérieur droit du volet Cloud Shell (ou appuyez sur Ctrl + Q dans Windows ou CMD + Q dans macOS).

  8. Exécutez la commande suivante pour mettre à jour le rôle personnalisé Opérateur de machine virtuelle :

    az role definition update --role-definition vm-operator-role-new.json

  9. Exécutez la commande suivante pour vérifier que la définition du rôle est mise à jour :

    az role definition list --name "Virtual Machine Operator" --output json | jq '.[] | .permissions[0].actions'

Supprimer le rôle personnalisé

Si vous décidez que vous n’avez plus besoin du rôle personnalisé, vous devez supprimer les attributions de rôle avant de pouvoir supprimer le rôle.

  1. Exécutez la commande suivante pour supprimer les attributions de rôle pour le rôle personnalisé :

    az role assignment delete --role "Virtual Machine Operator"

  2. Exécutez la commande suivante pour supprimer la définition du rôle personnalisé :

    az role definition delete --name "Virtual Machine Operator"

  3. Exécutez la commande suivante pour vérifier que le rôle a disparu. Si le rôle est toujours listé, attendez une minute, puis réexécutez la commande :

    az role definition list --custom-role-only true