Déléguer la gestion des attributions de rôles Azure à d’autres personnes avec des conditions
En tant qu’administrateur, vous pouvez recevoir plusieurs demandes d’octroi d’accès aux ressources Azure que vous souhaitez déléguer à quelqu’un d’autre. Vous pouvez affecter un utilisateur aux rôles Propriétaire ou Accès utilisateur Administration istrateur, mais il s’agit de rôles hautement privilégiés. Cet article décrit un moyen plus sécurisé de déléguer la gestion des attributions de rôles à d’autres utilisateurs de votre organisation, mais ajoute des restrictions pour ces attributions de rôles. Par exemple, vous pouvez limiter les rôles qui peuvent être attribués ou limiter les principaux auxquels les rôles peuvent être attribués.
Le diagramme suivant montre comment un délégué avec des conditions ne peut affecter que les rôles Contributeur de sauvegarde ou Lecteur de sauvegarde aux seuls groupes Marketing ou Ventes.
Prérequis
Pour attribuer des rôles Azure, vous devez disposer de :
Microsoft.Authorization/roleAssignments/write
autorisations, telles que le contrôle d’accès en fonction du rôle Administration istrateur ou l’accès utilisateur Administration istrator
Étape 1 : Déterminer les autorisations dont le délégué a besoin
Pour déterminer les autorisations dont le délégué a besoin, répondez aux questions suivantes :
- Quels rôles le délégué peut-il attribuer ?
- À quels types de principaux le délégué peut-il attribuer des rôles ?
- À quels principaux le délégué peut-il attribuer des rôles ?
- Le délégué peut-il supprimer des attributions de rôle ?
Une fois que vous connaissez les autorisations dont le délégué a besoin, vous utilisez les étapes suivantes pour ajouter une condition à l’attribution de rôle du délégué. Pour obtenir des exemples de conditions, consultez Exemples pour déléguer la gestion des attributions de rôle Azure avec des conditions.
Étape 2 : Démarrer une nouvelle attribution de rôle
Connectez-vous au portail Azure.
Suivez les étapes pour ouvrir la page Ajouter une attribution de rôle.
Sous l’onglet Rôles, sélectionnez l’onglet Rôles d’administrateur privilégié.
Sélectionnez le rôle de contrôle d’accès en fonction du rôle Administration istrateur.
L’onglet Conditions s’affiche.
Vous pouvez sélectionner n’importe quel rôle qui inclut le ou les
Microsoft.Authorization/roleAssignments/write
actions, comme l’accès utilisateur Administration istrator, mais le contrôle d’accès en fonction du rôle Administration istrator a moins d’autorisationsMicrosoft.Authorization/roleAssignments/delete
.Sous l’onglet Membres , recherchez et sélectionnez le délégué.
Étape 3 : Ajouter une condition
Il existe deux façons d’ajouter une condition. Vous pouvez utiliser un modèle de condition ou utiliser un éditeur de condition avancé.
Sous l’onglet Conditions, sous Ce que l’utilisateur peut faire, sélectionnez l’option Autoriser l’utilisateur à attribuer uniquement des rôles sélectionnés aux principaux sélectionnés (moins de privilèges).
Sélectionnez Sélectionner des rôles et des principaux.
La page Ajouter une condition d’attribution de rôle s’affiche avec une liste de modèles de condition.
Sélectionnez un modèle de condition, puis sélectionnez Configurer.
Modèle de condition Sélectionnez ce modèle pour Limiter les rôles Autoriser l’utilisateur à attribuer uniquement des rôles que vous sélectionnez Limiter les rôles et les types principaux Autoriser l’utilisateur à attribuer uniquement des rôles que vous sélectionnez
Autoriser l’utilisateur à attribuer uniquement ces rôles aux types principaux que vous sélectionnez (utilisateurs, groupes ou principaux de service)Limiter les rôles et les principaux Autoriser l’utilisateur à attribuer uniquement des rôles que vous sélectionnez
Autoriser l’utilisateur à attribuer uniquement ces rôles aux principaux que vous sélectionnezDans le volet de configuration, ajoutez les configurations requises.
Sélectionnez Enregistrer pour ajouter la condition à l’attribution de rôle.
Étape 4 : Attribuer un rôle avec une condition pour déléguer
Sous l’onglet Vérifier + attribuer, vérifiez les paramètres d’attribution de rôle.
Sélectionnez Vérifier + attribuer pour attribuer le rôle.
Après quelques instants, le délégué reçoit le rôle de contrôle d’accès en fonction du rôle Administration istrateur avec vos conditions d’attribution de rôle.
Étape 5 : Le délégué attribue des rôles avec des conditions
Le délégué peut désormais suivre les étapes permettant d’attribuer des rôles.
Lorsque le délégué tente d’attribuer des rôles dans le Portail Azure, la liste des rôles est filtrée pour simplement afficher les rôles qu’ils peuvent attribuer.
S’il existe une condition pour les principaux, la liste des principaux disponibles pour l’affectation est également filtrée.
Si le délégué tente d’attribuer un rôle qui se trouve en dehors des conditions à l’aide d’une API, l’attribution de rôle échoue avec une erreur. Pour plus d’informations, consultez Symptôme - Impossible d’attribuer un rôle.