Utiliser des Access Control basées sur les rôles pour gérer les Machines Virtuelles Azure Stack HCI
S’applique à : Azure Stack HCI, version 23H2
Cet article explique comment utiliser le RBAC (Role-based Access Control) pour contrôler l’accès aux machines virtuelles Arc s’exécutant sur votre cluster Azure Stack HCI.
Vous pouvez utiliser les rôles RBAC intégrés pour contrôler l’accès aux machines virtuelles et aux ressources de machine virtuelle, telles que les disques virtuels, les interfaces réseau, les images de machine virtuelle, les réseaux logiques et les chemins de stockage. Vous pouvez attribuer ces rôles à des utilisateurs, des groupes, des principaux de service et des identités managées.
Important
Cette fonctionnalité est actuellement en PRÉVERSION. Pour connaître les conditions juridiques qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou plus généralement non encore en disponibilité générale, consultez l’Avenant aux conditions d’utilisation des préversions de Microsoft Azure.
À propos des rôles RBAC intégrés
Pour contrôler l’accès aux machines virtuelles et aux ressources de machine virtuelle sur votre instance Azure Stack HCI, vous pouvez utiliser les rôles RBAC suivants :
- Administrateur Azure Stack HCI : ce rôle accorde un accès total à votre cluster Azure Stack HCI et à ses ressources. Un administrateur Azure Stack HCI peut inscrire le cluster et attribuer des rôles de lecteur de machine virtuelle Azure Stack HCI contributeur et de lecteur de machine virtuelle Azure Stack HCI à d’autres utilisateurs. Ils peuvent également créer des ressources partagées en cluster, telles que des réseaux logiques, des images de machine virtuelle et des chemins de stockage.
- Contributeur de machine virtuelle Azure Stack HCI : ce rôle accorde des autorisations pour effectuer toutes les actions de machine virtuelle telles que démarrer, arrêter et redémarrer les machines virtuelles. Un contributeur de machine virtuelle Azure Stack HCI peut créer et supprimer des machines virtuelles, ainsi que les ressources et les extensions attachées aux machines virtuelles. Un contributeur de machine virtuelle Azure Stack HCI ne peut pas inscrire le cluster ou attribuer des rôles à d’autres utilisateurs, ni créer des ressources partagées de cluster telles que des réseaux logiques, des images de machine virtuelle et des chemins de stockage.
- Lecteur de machine virtuelle Azure Stack HCI : ce rôle accorde des autorisations pour afficher uniquement les machines virtuelles. Un lecteur de machine virtuelle ne peut pas effectuer d’actions sur les machines virtuelles ou les ressources et extensions de machine virtuelle.
Voici un tableau qui décrit les actions de machine virtuelle accordées par chaque rôle pour les machines virtuelles et les différentes ressources de machine virtuelle. Les ressources de machine virtuelle sont référencées aux ressources nécessaires pour créer une machine virtuelle et incluent des disques virtuels, des interfaces réseau, des images de machine virtuelle, des réseaux logiques et des chemins de stockage :
Rôle intégré | Machines virtuelles | Ressources de machine virtuelle |
---|---|---|
Administrateur Azure Stack HCI | Créer, répertorier, supprimer des machines virtuelles Démarrer, arrêter, redémarrer des machines virtuelles |
Créer, répertorier et supprimer toutes les ressources de machine virtuelle, y compris les réseaux logiques, les images de machine virtuelle et les chemins d’accès de stockage |
Contributeur de machine virtuelle Azure Stack HCI | Créer, répertorier, supprimer des machines virtuelles Démarrer, arrêter, redémarrer des machines virtuelles |
Créer, répertorier et supprimer toutes les ressources de machine virtuelle à l’exception des réseaux logiques, des images de machine virtuelle et des chemins d’accès de stockage |
Lecteur de machine virtuelle Azure Stack HCI | Répertorier toutes les machines virtuelles | Répertorier toutes les ressources de machine virtuelle |
Prérequis
Avant de commencer, vérifiez que les prérequis suivants sont satisfaits :
Assurez-vous que vous avez accès à un cluster Azure Stack HCI déployé et inscrit. Pendant le déploiement, un pont de ressources Arc et un emplacement personnalisé sont également créés.
Accédez au groupe de ressources dans Azure. Vous pouvez voir l’emplacement personnalisé et le pont de ressources Azure Arc créés pour le cluster Azure Stack HCI. Notez l’abonnement, le groupe de ressources et l’emplacement personnalisé que vous utiliserez plus loin dans ce scénario.
Assurez-vous que vous avez accès à l’abonnement Azure en tant que propriétaire ou administrateur de l’accès utilisateur pour attribuer des rôles à d’autres personnes.
Attribuer des rôles RBAC aux utilisateurs
Vous pouvez attribuer des rôles RBAC à l’utilisateur via le Portail Azure. Procédez comme suit pour attribuer des rôles RBAC aux utilisateurs :
Dans le portail Azure, recherchez l’étendue à laquelle accorder l’accès, par exemple, rechercher des abonnements, des groupes de ressources ou une ressource spécifique. Dans cet exemple, nous utilisons l’abonnement dans lequel le cluster Azure Stack HCI est déployé.
Accédez à votre abonnement, puis accédez à Contrôle d’accès (IAM) > Attributions de rôles. Dans la barre de commandes supérieure, sélectionnez + Ajouter , puis Ajouter une attribution de rôle.
Si vous ne disposez pas des autorisations nécessaires pour attribuer des rôles, l’option Ajouter une attribution de rôle est désactivée.
Sous l’onglet Rôle , sélectionnez un rôle RBAC à attribuer et choisissez l’un des rôles intégrés suivants :
- Administrateur Azure Stack HCI
- Contributeur de machine virtuelle Azure Stack HCI
- Lecteur de machine virtuelle Azure Stack HCI
Sous l’onglet Membres , sélectionnez l’Utilisateur, le groupe ou le principal de service. Sélectionnez également un membre pour attribuer le rôle.
Passez en revue le rôle et affectez-le.
Vérifiez l’attribution de rôle. Accédez à Contrôle d’accès (IAM) > Vérifier l’accès > Afficher mon accès. Vous devez voir l’attribution de rôle.
Pour plus d’informations sur l’attribution de rôle, consultez Attribuer des rôles Azure à l’aide du Portail Azure.
Étapes suivantes
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultezEnvoyer et afficher des commentaires pour