Configurer votre environnement pour un opérateur Blueprint

Important

Le 11 juillet 2026, Blueprints (préversion) sera devenu obsolète. Migrez vos définitions et affectations Blueprint existantes vers les Spécifications de modèleet lesPiles de déploiement. Les artefacts de Blueprint doivent être convertis en modèles ARM JSON ou en fichiers Bicep utilisés pour définir des piles de déploiement. Pour savoir comment créer un artefact en tant que ressource ARM, consultez :

• Stratégie
• RBAC
• Déploiements

La gestion de vos définitions et affectations de blueprint peut être attribuée à différentes équipes. Il arrive souvent qu'une équipe d'architectes ou de gouvernance soit en charge de la gestion du cycle de vie de vos définitions de blueprint, et une équipe d’exploitation en charge de la gestion des affectations de ces définitions de blueprint contrôlées de manière centralisée.

Le rôle intégré Opérateur blueprint est spécifiquement conçu pour être utilisé dans ce type de scénario. Ce rôle permet aux équipes des opérations de gérer l’affectation des définitions de blueprint, sans possibilité de les modifier. Cela implique une configuration de votre environnement Azure et cet article détaille les étapes nécessaires.

Accorder l’autorisation à l’opérateur Blueprint

La première étape consiste à attribuer le rôle d'opérateur Blueprint au compte ou groupe de sécurité (recommandé) qui sera en charge d'affecter les blueprints. Cette action doit être effectuée au plus haut niveau de la hiérarchie des groupes d'administration, qui englobe tous les groupes d’administration et abonnements pour lesquels l’équipe des opérations doit avoir un accès en matière d'affectation de blueprints. Il est recommandé de suivre le principe du privilège minimum lors de l’octroi de ces autorisations.

1. (Recommandé) Créer un groupe de sécurité et ajouter des membres

2. Attribuer un rôle Azure d'd’opérateur Blueprint au compte ou groupe de sécurité

Identité managée attribuée par l'utilisateur

Une définition de blueprint peut utiliser des identités managées affectées par le système ou par l’utilisateur. Cela étant, lorsque vous utilisez le rôle d'opérateur Blueprint, la définition de blueprint doit être configurée pour utiliser une identité managée affectée par l’utilisateur. De plus, le compte ou groupe de sécurité qui se voit attribuer le rôle d'opérateur Blueprint doit se voir attribuer le rôle d'opérateur d'identité managée sur l'identité managée affectée par l'utilisateur. Sans cette autorisation, les affectations de blueprint échouent.

1. Créez une identité managée affectée par l’utilisateur pour l’utiliser dans le cadre d’un blueprint attribué.

2. Accordez à l’identité managée affectée par l’utilisateur toutes les autorisations ou tous les rôles requis par la définition de blueprint pour l’étendue prévue.

3. Attribuer un rôle Azure d’Opérateur d'identité managée au compte ou groupe de sécurité. Étendez l’attribution de rôle à la nouvelle identité managée affectée par l’utilisateur.

4. En tant qu’opérateur Blueprint, attribuez un blueprint utilisant la nouvelle identité managée affectée par l’utilisateur.

Étapes suivantes

• En savoir plus sur le cycle de vie des blueprints
• Comprendre comment utiliser les paramètres statiques et dynamiques.
• Apprendre à personnaliser l’ordre de séquencement des blueprints.
• Découvrir comment utiliser le verrouillage de ressources de blueprint.
• Résoudre les problèmes durant l’affectation d’un blueprint en suivant les étapes de dépannage général.