Share via

Créer et affecter une identité managée affectée par l’utilisateur

  • Article

Dans ce guide pratique, vous allez apprendre à effectuer les opérations suivantes :

  • Créez une identité managée affectée par l’utilisateur (UAMI) pour votre service de réseau de site (SNS).
  • Attribuez les autorisations d’identité managée attribuées par l’utilisateur.

L’exigence d’une identité managée affectée par l’utilisateur et les autorisations requises dépendent de la conception du service réseau (NSD) et doivent avoir été communiquées à vous par le Concepteur de services réseau.

Prérequis

  • Vous devez avoir créé un rôle personnalisé via Créer un rôle personnalisé. Cet article suppose que vous avez nommé le rôle personnalisé « Rôle personnalisé - Opérateur de service AOSM à Publisher ».

  • Votre Concepteur de services réseau doit vous avoir indiqué quelles autres autorisations votre identité managée nécessite et quelle version de définition de fonction réseau (NFDV) utilise votre SNS.

  • Pour effectuer cette tâche, vous avez besoin du rôle « Propriétaire » ou « Accès utilisateur Administration istrator » sur la ressource version de définition de fonction réseau à partir de votre serveur de publication choisi. Vous devez également disposer d’un groupe de ressources sur lequel vous disposez de l’attribution de rôle « Propriétaire » ou « Accès utilisateur Administration istrator » pour créer l’identité managée et lui attribuer des autorisations.

Créer une identité managée affectée par l’utilisateur

Créez une identité managée affectée par l’utilisateur. Pour plus d’informations, consultez Créer une identité managée affectée par l’utilisateur pour votre SNS.

Attribuer un rôle personnalisé

Attribuez un rôle personnalisé à votre identité managée affectée par l’utilisateur.

Choisir l’étendue pour l’attribution d’un rôle personnalisé

Les ressources de l’éditeur dont vous avez besoin pour affecter le rôle personnalisé sont les suivantes :

  • Version(s) des définitions de fonction réseau

Vous devez décider si vous souhaitez affecter le rôle personnalisé individuellement à ce NFDV, ou à une ressource parente telle que le groupe de ressources de l’éditeur ou le groupe de définition de fonction réseau.

L’application à une ressource parente accorde l’accès à toutes les ressources enfants. Par exemple, l’application à l’ensemble du groupe de ressources de l’éditeur donne à l’identité managée l’accès à :

  • Tous les groupes et versions de définition de fonction réseau.

  • Tous les groupes et versions de conception de service réseau.

  • Tous les schémas de groupe de configuration.

Les autorisations de rôle personnalisées limitent l’accès à la liste des autorisations indiquées ici :

  • Microsoft.HybridNetwork/Publishers/NetworkFunctionDefinitionGroups/NetworkFunctionDefinitionVersions/use/action

  • Microsoft.HybridNetwork/Publishers/NetworkFunctionDefinitionGroups/NetworkFunctionDefinitionVersions/read

  • Microsoft.HybridNetwork/Publishers/NetworkServiceDesignGroups/NetworkServiceDesignVersions/use/action

  • Microsoft.HybridNetwork/Publishers/NetworkServiceDesignGroups/NetworkServiceDesignVersions/read

  • Microsoft.HybridNetwork/Publishers/ConfigurationGroupSchemas/read

Remarque

Ne fournissez pas d’accès en écriture ou suppression à l’une de ces ressources d’éditeur.

Attribuer un rôle personnalisé

  1. Accédez au Portail Azure et ouvrez l’étendue choisie ; Groupe de ressources publisher ou version de définition de fonction réseau.

  2. Dans le menu latéral de cet élément, sélectionnez Contrôle d’accès (IAM) .

  3. Choisissez Ajouter une attribution de rôle.

    Screenshot showing the publisher resource group access control page.

  4. Sous Rôles de fonction de travail, recherchez votre rôle personnalisé dans la liste, puis passez à Suivant.

    Screenshot showing the add role assignment screen.

  5. Sélectionnez Identité managée, puis Choisissez + Sélectionner des membres , puis recherchez et choisissez votre nouvelle identité managée. Choisissez Sélectionner.

    Screenshot showing the add role assignment and select managed identities.

  6. Sélectionnez Vérifier et attribuer.

Répéter l’attribution de rôle

Répétez les tâches d’attribution de rôle pour toutes vos étendues choisies.

Attribuer le rôle Opérateur d’identité managée à l’identité managée elle-même

  1. Accédez au Portail Azure et recherchez les identités managées.

  2. Sélectionnez identity-for-nginx-sns dans la liste des identités managées.

  3. Dans le menu latéral, sélectionnez Contrôle d’accès (IAM) .

  4. Choisissez Ajouter une attribution de rôle et sélectionnez le rôle Opérateur d’identité managée. Screenshot showing the Managed Identity Operator role add role assignment.

  5. Sélectionnez le rôle Opérateur d’identité managée.

    Screenshot showing the Managed Identity Operator role.

  6. Sélectionnez Identité managée.

  7. Sélectionnez + Sélectionnez des membres et accédez à l’identité managée affectée par l’utilisateur et passez à l’affectation.

    Screenshot showing the Add role assignment screen with Managed identity selected.

L’achèvement de toutes les tâches décrites dans cet article garantit que le service de réseau de site (SNS) dispose des autorisations nécessaires pour fonctionner efficacement dans l’environnement Azure spécifié.

Attribuer d’autres autorisations requises à l’identité managée

Répétez ce processus pour attribuer d’autres autorisations à l’identité managée identifiée par votre Concepteur de services réseau.