Gestion de l’accès aux ressources dans AzureResource access management in Azure

Gouvernance de cloud présente les cinq Disciplines de gouvernance Cloud, qui inclut la gestion des ressources.Cloud Governance outlines the Five Disciplines of Cloud Governance, which includes Resource Management. La rubrique Présentation de la gouvernance des accès aux ressources explique comment la gestion de l’accès aux ressources s’inscrit dans la discipline de gestion des ressources.What is resource access governance furthers explains how resource access management fits into the resource management discipline. Avant de découvrir comment concevoir un modèle de gouvernance, il est important de comprendre les contrôles de gestion des accès aux ressources dans Azure.Before you move on to learn how to design a governance model, it's important to understand the resource access management controls in Azure. La configuration de ces contrôles de gestion des accès aux ressources constitue la base de votre modèle de gouvernance.The configuration of these resource access management controls forms the basis of your governance model.

Commencez par examiner de plus près le déploiement des ressources dans Azure.Begin by taking a closer look at how resources are deployed in Azure.

Qu’est-ce qu’une ressource Azure ?What is an Azure resource?

Dans Azure, le terme ressource fait référence à une entité gérée par Azure.In Azure, the term resource refers to an entity managed by Azure. Par exemple, les machines virtuelles, les réseaux virtuels et les comptes de stockage sont tous considérés comme des ressources Azure.For example, virtual machines, virtual networks, and storage accounts are all referred to as Azure resources.

Diagramme d’une ressource Figure 1. Une ressource.Diagram of a resource Figure 1. A resource.

Qu’est-ce qu’un groupe de ressources Azure ?What is an Azure resource group?

Chaque ressource dans Azure doit appartenir à un groupe de ressources.Each resource in Azure must belong to a resource group. Un groupe de ressources est simplement une construction logique qui regroupe plusieurs ressources afin qu’elles puissent être gérées en tant qu’entité unique.A resource group is simply a logical construct that groups multiple resources together so they can be managed as a single entity. Par exemple, des ressources qui partagent un cycle de vie similaire, tels que les ressources d’une application multi-niveau, peuvent être créées ou supprimées en tant que groupe.For example, resources that share a similar lifecycle, such as the resources for an n-tier application may be created or deleted as a group.

Diagramme d’un groupe de ressources contenant une ressource Figure 2. Un groupe de ressources contient une ressource.Diagram of a resource group containing a resource Figure 2. A resource group contains a resource.

Les groupes de ressources et les ressources qu’ils contiennent sont associés à un abonnement Azure.Resource groups and the resources they contain are associated with an Azure subscription.

Qu’est-ce qu’un abonnement Azure ?What is an Azure subscription?

Un abonnement Azure est similaire à un groupe de ressources : il s’agit d’une construction logique qui regroupe des groupes de ressources et leurs ressources.An Azure subscription is similar to a resource group in that it's a logical construct that groups together resource groups and their resources. Toutefois, un abonnement Azure est également associé aux contrôles utilisés par Azure Resource Manager.However, an Azure subscription is also associated with the controls used by Azure Resource Manager. Qu’est-ce que cela signifie ?What does this mean? Examinez plus en détail Azure Resource Manager pour en savoir plus sur sa relation avec un abonnement Azure.Take a closer look at Azure Resource Manager to learn about the relationship between it and an Azure subscription.

Diagramme d’un abonnement Azure Figure 3. Un abonnement Azure.Diagram of an Azure subscription Figure 3. An Azure subscription.

Qu’est-ce qu’Azure Resource Manager ?What is Azure Resource Manager?

Dans Comment fonctionne Azure ?, vous avez appris qu’Azure comprend un « serveur frontal » avec de nombreux services qui orchestrent toutes les fonctions d’Azure.In how does Azure work? you learned that Azure includes a "front end" with many services that orchestrate all the functions of Azure. L’un de ces services, Azure Resource Manager, héberge l’API RESTful utilisée par les clients pour gérer les ressources.One of these services is Azure Resource Manager, and this service hosts the RESTful API used by clients to manage resources.

Diagramme d’Azure Resource Manager Figure 4. Azure Resource Manager.Diagram of Azure Resource Manager Figure 4. Azure Resource Manager.

La figure suivante montre trois clients : PowerShell, le Azure portalet le Azure CLI:The following figure shows three clients: PowerShell, the Azure portal, and the Azure CLI:

Diagramme de clients Azure se connectant à l’API Azure Resource Manager Figure 5. Les clients Azure se connectent à l’API RESTful Azure Resource Manager.Diagram of Azure clients connecting to the Azure Resource Manager API Figure 5. Azure clients connect to the Azure Resource Manager RESTful API.

Bien que ces clients se connectent à Azure Resource Manager à l’aide de l’API RESTful, Azure Resource Manager n’inclut pas de fonctionnalités permettant de gérer directement les ressources.While these clients connect to Azure Resource Manager using the RESTful API, Azure Resource Manager does not include functionality to manage resources directly. Au lieu de cela, la plupart des types de ressources Azure ont leur propre fournisseur de ressources.Rather, most resource types in Azure have their own resource provider.

Fournisseurs de ressources Azure Figure 6. Fournisseurs de ressources Azure.Azure resource providers Figure 6. Azure resource providers.

Quand un client effectue une requête pour gérer une ressource spécifique, Azure Resource Manager se connecte au fournisseur de ressources pour ce type de ressources afin d’exécuter la requête.When a client makes a request to manage a specific resource, Azure Resource Manager connects to the resource provider for that resource type to complete the request. Par exemple, si un client effectue une requête pour gérer une ressource de machine virtuelle, Azure Resource Manager se connecte au fournisseur de ressources Microsoft.Compute.For example, if a client makes a request to manage a virtual machine resource, Azure Resource Manager connects to the Microsoft.Compute resource provider.

Azure Resource Manager se connectant au fournisseur de ressources Microsoft.Compute Figure 7. Azure Resource Manager se connecte au fournisseur de ressources Microsoft.Compute pour gérer la ressource spécifiée dans la requête du client.Azure Resource Manager connecting to the Microsoft.Compute resource provider Figure 7. Azure Resource Manager connects to the Microsoft.Compute resource provider to manage the resource specified in the client request.

Azure Resource Manager exige du client qu’il spécifie un identificateur pour l’abonnement et le groupe de ressources, afin de gérer la ressource de machine virtuelle.Azure Resource Manager requires the client to specify an identifier for both the subscription and the resource group in order to manage the virtual machine resource.

Maintenant que vous comprenez le fonctionnement d’Azure Resource Manager, revenez à la présentation de la façon dont un abonnement Azure est associé aux contrôles utilisés par Azure Resource Manager.Now that you have an understanding of how Azure Resource Manager works, return to the discussion of how an Azure subscription is associated with the controls used by Azure Resource Manager. Avant qu’une requête de gestion des ressources ne soit exécutée par Azure Resource Manager, plusieurs contrôles sont vérifiés.Before any resource management request can be executed by Azure Resource Manager, a set of controls are checked.

Le premier contrôle est qu’une requête doit être effectuée par un utilisateur validé, et qu’Azure Resource Manager a une relation de confiance avec Azure Active Directory (Azure AD) pour fournir des fonctionnalités d’identité utilisateur.The first control is that a request must be made by a validated user, and Azure Resource Manager has a trusted relationship with Azure Active Directory (Azure AD) to provide user identity functionality.

Azure Active Directory Figure 8. Azure Active Directory.Azure Active Directory Figure 8. Azure Active Directory.

Dans Azure AD, les utilisateurs sont segmentés sous forme de clients.In Azure AD, users are segmented into tenants. Un client est une construction logique qui représente une instance d’Azure AD dédiée et sécurisée, généralement associée à une organisation.A tenant is a logical construct that represents a secure, dedicated instance of Azure AD typically associated with an organization. Chaque abonnement est associé à un client Azure AD.Each subscription is associated with an Azure AD tenant.

Un locataire Azure AD associé à un abonnement Figure 9. Un client Azure AD associé à un abonnement.An Azure AD tenant associated with a subscription Figure 9. An Azure AD tenant associated with a subscription.

Chaque requête du client pour gérer une ressource dans un abonnement spécifique requiert que l’utilisateur dispose d’un compte dans le client Azure AD associé.Each client request to manage a resource in a particular subscription requires that the user has an account in the associated Azure AD tenant.

Le contrôle suivant consiste à vérifier que l’utilisateur dispose des autorisations suffisantes pour effectuer la requête.The next control is a check that the user has sufficient permission to make the request. Les autorisations sont attribuées aux utilisateurs à l’aide du contrôle d’accès en fonction du rôle (RBAC).Permissions are assigned to users using role-based access control (RBAC).

Des utilisateurs affectés aux rôles RBAC Figure 10. Un ou plusieurs rôles RBAC sont attribués à chaque utilisateur du client.Users assigned to RBAC roles Figure 10. Each user in the tenant is assigned one or more RBAC roles.

Un rôle RBAC spécifie un ensemble d’autorisations qu’un utilisateur peut utiliser pour une ressource spécifique.An RBAC role specifies a set of permissions a user may take on a specific resource. Lorsque le rôle est attribué à l’utilisateur, ces autorisations s’appliquent.When the role is assigned to the user, those permissions are applied. Par exemple, le rôle de propriétaire intégré autorise un utilisateur à effectuer une action sur une ressource.For example, the built-in owner role allows a user to perform any action on a resource.

Le contrôle suivant vérifie que la requête est autorisée sous les paramètres spécifiés dans la stratégie de ressources Azure.The next control is a check that the request is allowed under the settings specified for Azure resource policy. Les stratégies de ressources Azure spécifient les opérations autorisées pour une ressource spécifique.Azure resource policies specify the operations allowed for a specific resource. Par exemple, une stratégie de ressources Azure peut spécifier que les utilisateurs sont uniquement autorisés à déployer un type spécifique de machine virtuelle.For example, an Azure resource policy can specify that users are only allowed to deploy a specific type of virtual machine.

Stratégie de ressource Azure Figure 11. Stratégie de ressource Azure.Azure resource policy Figure 11. Azure resource policy.

Le contrôle suivant consiste à vérifier que la requête ne dépasse pas une limite d’abonnement Azure.The next control is a check that the request does not exceed an Azure subscription limit. Par exemple, chaque abonnement dispose d’une limite de 980 groupes de ressources par abonnement.For example, each subscription has a limit of 980 resource groups per subscription. Si une requête pour déployer un groupe de ressources supplémentaire est reçue une fois la limite atteinte, elle est refusée.If a request is received to deploy an additional resource group once the limit has been reached, it is denied.

Limites des ressources Azure Figure 12. Limites des ressources Azure.Azure resource limits Figure 12. Azure resource limits.

Le contrôle final vérifie que la requête est comprise dans l’engagement financier associé à l’abonnement.The final control is a check that the request is within the financial commitment associated with the subscription. Par exemple, si la requête doit déployer une machine virtuelle, Azure Resource Manager vérifie que l’abonnement dispose des informations de paiement suffisantes.For example, if the request is to deploy a virtual machine, Azure Resource Manager verifies that the subscription has sufficient payment information.

Un engagement financier associé à un abonnement Figure 13. Un engagement financier est associé à un abonnement.A financial commitment associated with a subscription Figure 13. A financial commitment is associated with a subscription.

RésuméSummary

Dans cet article, vous avez étudié la gestion des accès aux ressources dans Azure à l’aide d’Azure Resource Manager.In this article, you learned about how resource access is managed in Azure using Azure Resource Manager.

Étapes suivantesNext steps

Maintenant que vous comprenez comment gérer l’accès aux ressources dans Azure, poursuivez pour en savoir plus sur la conception d’un modèle de gouvernance pour une charge de travail simple ou pour plusieurs équipes à l’aide de ces services.Now that you understand how to manage resource access in Azure, move on to learn how to design a governance model for a simple workload or for multiple teams using these services.