Utiliser des Access Control basées sur les rôles pour gérer les Machines Virtuelles Azure Stack HCI

  • Article

S’applique à : Azure Stack HCI, version 23H2

Cet article explique comment utiliser le RBAC (Role-based Access Control) pour contrôler l’accès aux machines virtuelles Arc s’exécutant sur votre cluster Azure Stack HCI.

Vous pouvez utiliser les rôles RBAC intégrés pour contrôler l’accès aux machines virtuelles et aux ressources de machine virtuelle, telles que les disques virtuels, les interfaces réseau, les images de machine virtuelle, les réseaux logiques et les chemins de stockage. Vous pouvez attribuer ces rôles à des utilisateurs, des groupes, des principaux de service et des identités managées.

Important

Cette fonctionnalité est actuellement en PRÉVERSION. Pour connaître les conditions juridiques qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou plus généralement non encore en disponibilité générale, consultez l’Avenant aux conditions d’utilisation des préversions de Microsoft Azure.

À propos des rôles RBAC intégrés

Pour contrôler l’accès aux machines virtuelles et aux ressources de machine virtuelle sur votre instance Azure Stack HCI, vous pouvez utiliser les rôles RBAC suivants :

  • Administrateur Azure Stack HCI : ce rôle accorde un accès total à votre cluster Azure Stack HCI et à ses ressources. Un administrateur Azure Stack HCI peut inscrire le cluster et attribuer des rôles de lecteur de machine virtuelle Azure Stack HCI contributeur et de lecteur de machine virtuelle Azure Stack HCI à d’autres utilisateurs. Ils peuvent également créer des ressources partagées en cluster, telles que des réseaux logiques, des images de machine virtuelle et des chemins de stockage.
  • Contributeur de machine virtuelle Azure Stack HCI : ce rôle accorde des autorisations pour effectuer toutes les actions de machine virtuelle telles que démarrer, arrêter et redémarrer les machines virtuelles. Un contributeur de machine virtuelle Azure Stack HCI peut créer et supprimer des machines virtuelles, ainsi que les ressources et les extensions attachées aux machines virtuelles. Un contributeur de machine virtuelle Azure Stack HCI ne peut pas inscrire le cluster ou attribuer des rôles à d’autres utilisateurs, ni créer des ressources partagées de cluster telles que des réseaux logiques, des images de machine virtuelle et des chemins de stockage.
  • Lecteur de machine virtuelle Azure Stack HCI : ce rôle accorde des autorisations pour afficher uniquement les machines virtuelles. Un lecteur de machine virtuelle ne peut pas effectuer d’actions sur les machines virtuelles ou les ressources et extensions de machine virtuelle.

Voici un tableau qui décrit les actions de machine virtuelle accordées par chaque rôle pour les machines virtuelles et les différentes ressources de machine virtuelle. Les ressources de machine virtuelle sont référencées aux ressources nécessaires pour créer une machine virtuelle et incluent des disques virtuels, des interfaces réseau, des images de machine virtuelle, des réseaux logiques et des chemins de stockage :

Rôle intégré Machines virtuelles Ressources de machine virtuelle
Administrateur Azure Stack HCI Créer, répertorier, supprimer des machines virtuelles

Démarrer, arrêter, redémarrer des machines virtuelles		 Créer, répertorier et supprimer toutes les ressources de machine virtuelle, y compris les réseaux logiques, les images de machine virtuelle et les chemins d’accès de stockage
Contributeur de machine virtuelle Azure Stack HCI Créer, répertorier, supprimer des machines virtuelles

Démarrer, arrêter, redémarrer des machines virtuelles		 Créer, répertorier et supprimer toutes les ressources de machine virtuelle à l’exception des réseaux logiques, des images de machine virtuelle et des chemins d’accès de stockage
Lecteur de machine virtuelle Azure Stack HCI Répertorier toutes les machines virtuelles Répertorier toutes les ressources de machine virtuelle

Prérequis

Avant de commencer, vérifiez que les prérequis suivants sont satisfaits :

  1. Assurez-vous que vous avez accès à un cluster Azure Stack HCI déployé et inscrit. Pendant le déploiement, un pont de ressources Arc et un emplacement personnalisé sont également créés.

    Accédez au groupe de ressources dans Azure. Vous pouvez voir l’emplacement personnalisé et le pont de ressources Azure Arc créés pour le cluster Azure Stack HCI. Notez l’abonnement, le groupe de ressources et l’emplacement personnalisé que vous utiliserez plus loin dans ce scénario.

  2. Assurez-vous que vous avez accès à l’abonnement Azure en tant que propriétaire ou administrateur de l’accès utilisateur pour attribuer des rôles à d’autres personnes.

Attribuer des rôles RBAC aux utilisateurs

Vous pouvez attribuer des rôles RBAC à l’utilisateur via le Portail Azure. Procédez comme suit pour attribuer des rôles RBAC aux utilisateurs :

  1. Dans le portail Azure, recherchez l’étendue à laquelle accorder l’accès, par exemple, rechercher des abonnements, des groupes de ressources ou une ressource spécifique. Dans cet exemple, nous utilisons l’abonnement dans lequel le cluster Azure Stack HCI est déployé.

  2. Accédez à votre abonnement, puis accédez à Contrôle d’accès (IAM) > Attributions de rôles. Dans la barre de commandes supérieure, sélectionnez + Ajouter , puis Ajouter une attribution de rôle.

    Si vous ne disposez pas des autorisations nécessaires pour attribuer des rôles, l’option Ajouter une attribution de rôle est désactivée.

    Capture d’écran montrant l’attribution de rôle RBAC dans Portail Azure pour votre cluster Azure Stack HCI.

  3. Sous l’onglet Rôle , sélectionnez un rôle RBAC à attribuer et choisissez l’un des rôles intégrés suivants :

    • Administrateur Azure Stack HCI
    • Contributeur de machine virtuelle Azure Stack HCI
    • Lecteur de machine virtuelle Azure Stack HCI

    Capture d’écran montrant l’onglet Rôle pendant l’attribution de rôle RBAC dans Portail Azure pour votre cluster Azure Stack HCI.

  4. Sous l’onglet Membres , sélectionnez l’Utilisateur, le groupe ou le principal de service. Sélectionnez également un membre pour attribuer le rôle.

    Capture d’écran montrant l’onglet Membres pendant l’attribution de rôle dans Portail Azure pour votre cluster Azure Stack HCI.

  5. Passez en revue le rôle et affectez-le.

    Capture d’écran montrant l’onglet Vérifier + attribuer pendant l’attribution de rôle dans Portail Azure pour votre cluster Azure Stack HCI.

  6. Vérifiez l’attribution de rôle. Accédez à Contrôle d’accès (IAM) > Vérifier l’accès > Afficher mon accès. Vous devez voir l’attribution de rôle.

    Capture d’écran montrant le rôle nouvellement attribué dans Portail Azure pour votre cluster Azure Stack HCI.

Pour plus d’informations sur l’attribution de rôle, consultez Attribuer des rôles Azure à l’aide du Portail Azure.

Étapes suivantes