Créer et affecter une identité managée affectée par l’utilisateur
Dans ce guide pratique, vous allez apprendre à effectuer les opérations suivantes :
- Créez une identité managée affectée par l’utilisateur (UAMI) pour votre service de réseau de site (SNS).
- Attribuez les autorisations d’identité managée attribuées par l’utilisateur.
L’exigence d’une identité managée affectée par l’utilisateur et les autorisations requises dépendent de la conception du service réseau (NSD) et doivent avoir été communiquées à vous par le Concepteur de services réseau.
Prérequis
Vous devez avoir créé un rôle personnalisé via Créer un rôle personnalisé. Cet article suppose que vous avez nommé le rôle personnalisé « Rôle personnalisé - Opérateur de service AOSM à Publisher ».
Votre Concepteur de services réseau doit vous avoir indiqué quelles autres autorisations votre identité managée nécessite et quelle version de définition de fonction réseau (NFDV) utilise votre SNS.
Pour effectuer cette tâche, vous avez besoin du rôle « Propriétaire » ou « Accès utilisateur Administration istrator » sur la ressource version de définition de fonction réseau à partir de votre serveur de publication choisi. Vous devez également disposer d’un groupe de ressources sur lequel vous disposez de l’attribution de rôle « Propriétaire » ou « Accès utilisateur Administration istrator » pour créer l’identité managée et lui attribuer des autorisations.
Créer une identité managée affectée par l’utilisateur
Créez une identité managée affectée par l’utilisateur. Pour plus d’informations, consultez Créer une identité managée affectée par l’utilisateur pour votre SNS.
Attribuer un rôle personnalisé
Attribuez un rôle personnalisé à votre identité managée affectée par l’utilisateur.
Choisir l’étendue pour l’attribution d’un rôle personnalisé
Les ressources de l’éditeur dont vous avez besoin pour affecter le rôle personnalisé sont les suivantes :
- Version(s) des définitions de fonction réseau
Vous devez décider si vous souhaitez affecter le rôle personnalisé individuellement à ce NFDV, ou à une ressource parente telle que le groupe de ressources de l’éditeur ou le groupe de définition de fonction réseau.
L’application à une ressource parente accorde l’accès à toutes les ressources enfants. Par exemple, l’application à l’ensemble du groupe de ressources de l’éditeur donne à l’identité managée l’accès à :
Tous les groupes et versions de définition de fonction réseau.
Tous les groupes et versions de conception de service réseau.
Tous les schémas de groupe de configuration.
Les autorisations de rôle personnalisées limitent l’accès à la liste des autorisations indiquées ici :
Microsoft.HybridNetwork/Publishers/NetworkFunctionDefinitionGroups/NetworkFunctionDefinitionVersions/use/action
Microsoft.HybridNetwork/Publishers/NetworkFunctionDefinitionGroups/NetworkFunctionDefinitionVersions/read
Microsoft.HybridNetwork/Publishers/NetworkServiceDesignGroups/NetworkServiceDesignVersions/use/action
Microsoft.HybridNetwork/Publishers/NetworkServiceDesignGroups/NetworkServiceDesignVersions/read
Microsoft.HybridNetwork/Publishers/ConfigurationGroupSchemas/read
Remarque
Ne fournissez pas d’accès en écriture ou suppression à l’une de ces ressources d’éditeur.
Attribuer un rôle personnalisé
Accédez au Portail Azure et ouvrez l’étendue choisie ; Groupe de ressources publisher ou version de définition de fonction réseau.
Dans le menu latéral de cet élément, sélectionnez Contrôle d’accès (IAM) .
Choisissez Ajouter une attribution de rôle.
Sous Rôles de fonction de travail, recherchez votre rôle personnalisé dans la liste, puis passez à Suivant.
Sélectionnez Identité managée, puis Choisissez + Sélectionner des membres , puis recherchez et choisissez votre nouvelle identité managée. Choisissez Sélectionner.
Sélectionnez Vérifier et attribuer.
Répéter l’attribution de rôle
Répétez les tâches d’attribution de rôle pour toutes vos étendues choisies.
Attribuer le rôle Opérateur d’identité managée à l’identité managée elle-même
Accédez au Portail Azure et recherchez les identités managées.
Sélectionnez identity-for-nginx-sns dans la liste des identités managées.
Dans le menu latéral, sélectionnez Contrôle d’accès (IAM) .
Choisissez Ajouter une attribution de rôle et sélectionnez le rôle Opérateur d’identité managée.
Sélectionnez le rôle Opérateur d’identité managée.
Sélectionnez Identité managée.
Sélectionnez + Sélectionnez des membres et accédez à l’identité managée affectée par l’utilisateur et passez à l’affectation.
L’achèvement de toutes les tâches décrites dans cet article garantit que le service de réseau de site (SNS) dispose des autorisations nécessaires pour fonctionner efficacement dans l’environnement Azure spécifié.
Attribuer d’autres autorisations requises à l’identité managée
Répétez ce processus pour attribuer d’autres autorisations à l’identité managée identifiée par votre Concepteur de services réseau.