Share via

Configurer une identité managée pour un centre de développement

  • Article

Ce guide explique comment ajouter et configurer une identité managée pour votre centre de développement Environnements de déploiement Azure afin d’activer un déploiement sécurisé pour les équipes de développement.

Les environnements de déploiement Azure utilisent des identités managées pour donner aux équipes de développement des fonctionnalités de déploiement en libre-service sans leur donner accès aux abonnements dans lesquels les ressources Azure sont créées. Une identité managée ajoute des fonctionnalités de privilèges élevés et une authentification sécurisée à tout service prenant en charge l’authentification Microsoft Entra.

L’identité managée attachée à un centre de développement doit être affectée à la fois au rôle Contributeur et au rôle d’accès utilisateur Administration istrateur dans les abonnements de déploiement pour chaque type d’environnement. Lorsqu’un déploiement d’environnement est demandé, le service accorde les autorisations appropriées aux identités de déploiement qui sont configurées pour le type d’environnement à déployer au nom de l’utilisateur. L’identité managée attachée à un centre de développement est également utilisée pour ajouter à un catalogue et accéder aux définitions d’environnement dans le catalogue.

Ajouter une identité managée

Dans les Environnements de déploiement Azure, vous pouvez choisir entre deux types d’identités managées :

  • Identité affectée par le système : une identité affectée par le système est liée à votre centre de développement ou au type d’environnement de projet. Une identité affectée par le système est supprimée lorsque la ressource jointe est supprimée. Un centre de développement ou un type d’environnement de projet ne peuvent avoir qu’une seule identité affectée par le système.
  • Identité affectée par l’utilisateur : une identité attribuée par l’utilisateur est une ressource Azure autonome qui peut être affectée à votre centre de développement ou à un type d’environnement de projet. Pour les environnements de déploiement Azure, un centre de développement ou un type d’environnement de projet ne peut avoir qu’une seule identité affectée par l’utilisateur.

En guise de bonne pratique de sécurité, si vous choisissez d’utiliser des identités affectées par l’utilisateur, utilisez différentes identités pour votre projet et pour votre centre de développement. Les identités de projet doivent avoir un accès plus limité aux ressources par rapport à un centre de développement.

Remarque

Dans les environnements de déploiement Azure, si vous ajoutez une identité affectée par le système et une identité affectée par l’utilisateur, seule l’identité affectée par l’utilisateur est utilisée.

Ajouter une identité managée affectée par le système

  1. Connectez-vous au Portail Azure et accédez à Environnements de déploiement Azure.

  2. Dans les centres de développement, sélectionnez votre centre de développement.

  3. Dans le menu de gauche sous Paramètres, sélectionnez Identité.

  4. Sous Affecté par le système, définissez État sur Activé.

  5. Sélectionnez Enregistrer.

    Screenshot that shows the system-assigned managed identity.

  6. Dans la boîte de dialogue Activer l’identité managée affectée par le système , sélectionnez Oui.

Ajouter une identité managée affectée par l’utilisateur

  1. Connectez-vous au Portail Azure et accédez à Environnements de déploiement Azure.

  2. Dans les centres de développement, sélectionnez votre centre de développement.

  3. Dans le menu de gauche sous Paramètres, sélectionnez Identité.

  4. Sous Affecté par l’utilisateur, sélectionnez Ajouter pour attacher une identité existante.

    Screenshot that shows the user-assigned managed identity.

  5. Sur Ajouter une identité managée affectée par l’utilisateur, entrez ou sélectionnez les informations suivantes :

    1. Dans Abonnement, sélectionnez l’abonnement dans lequel l’identité existe.
    2. Sur les identités managées affectées par l’utilisateur, sélectionnez une identité existante.
    3. Sélectionnez Ajouter.

Attribuer une attribution de rôle d’abonnement

L’identité attachée au centre de développement doit être affectée aux rôles Contributeur et Accès utilisateur Administration istrateur pour tous les abonnements de déploiement et le rôle Lecteur pour tous les abonnements qui contiennent le projet approprié. Lorsqu’un utilisateur crée ou déploie un environnement, le service accorde un accès approprié à l’identité de déploiement attachée au type d’environnement de projet. L’identité de déploiement utilise l’accès pour effectuer des déploiements pour le compte de l’utilisateur. Vous pouvez utiliser l’identité managée pour permettre aux développeurs de créer des environnements sans leur accorder l’accès à l’abonnement.

Ajouter une attribution de rôle à une identité managée affectée par le système

  1. Dans le Portail Azure, accédez à votre centre de développement dans les environnements de déploiement Azure.

  2. Dans le menu de gauche sous Paramètres, sélectionnez Identité.

  3. Sous Autorisations affectées par le système>Autorisations, sélectionnez Attributions de rôles Azure.

    Screenshot that shows the Azure role assignment for system-assigned identity.

  4. Pour accorder l’accès Contributeur à l’abonnement, sélectionnez Ajouter une attribution de rôle (préversion), entrez ou sélectionnez les informations suivantes, puis sélectionnez Enregistrer :

    Nom Valeur
    Portée Abonnement
    Abonnement Sélectionnez l’abonnement dans lequel utiliser l’identité managée.
    Rôle Contributeur

  5. Pour accorder l’accès Administrateur de l’accès utilisateur à l’abonnement, sélectionnez Ajouter une attribution de rôle (préversion), entrez ou sélectionnez les informations suivantes, puis sélectionnez Enregistrer :

    Nom Valeur
    Portée Abonnement
    Abonnement Sélectionnez l’abonnement dans lequel utiliser l’identité managée.
    Rôle Administrateur de l'accès utilisateur

Ajouter une attribution de rôle à une identité managée affectée par l'utilisateur

  1. Dans le Portail Azure, accédez à votre centre de développement.

  2. Dans le menu de gauche sous Paramètres, sélectionnez Identité.

  3. Sous Affectée par l’utilisateur, sélectionnez l’identité.

  4. Dans le menu de gauche, sélectionnez attributions de rôles Azure.

  5. Pour accorder l’accès Contributeur à l’abonnement, sélectionnez Ajouter une attribution de rôle (préversion), entrez ou sélectionnez les informations suivantes, puis sélectionnez Enregistrer :

    Nom Valeur
    Portée Abonnement
    Abonnement Sélectionnez l’abonnement dans lequel utiliser l’identité managée.
    Rôle Contributeur

  6. Pour accorder l’accès Administrateur de l’accès utilisateur à l’abonnement, sélectionnez Ajouter une attribution de rôle (préversion), entrez ou sélectionnez les informations suivantes, puis sélectionnez Enregistrer :

    Nom Valeur
    Portée Abonnement
    Abonnement Sélectionnez l’abonnement dans lequel utiliser l’identité managée.
    Rôle Administrateur de l'accès utilisateur

Accorder à l’identité managée l’accès au secret du coffre de clés

Vous pouvez configurer votre coffre de clés pour utiliser une stratégie d’accès au coffre de clés ou un contrôle d’accès en fonction du rôle Azure.

Remarque

Avant de pouvoir ajouter un dépôt en tant que catalogue, vous devez accorder à l’identité managée l’accès au secret du coffre de clés qui contient le jeton d’accès personnel du dépôt.

Stratégie d’accès au coffre de clés

Si le coffre de clés est configuré pour utiliser une stratégie d’accès au coffre de clés :

  1. Dans le Portail Azure, accédez au coffre de clés qui contient le secret avec le jeton d’accès personnel.

  2. Dans le menu de gauche, sélectionnez Stratégies d’accès, puis sélectionnez Créer.

  3. Dans Créer une stratégie d’accès, entrez ou sélectionnez les informations suivantes :

    1. Sous l’onglet Autorisations , sous Autorisations de secret, cochez la case Obtenir, puis sélectionnez Suivant.
    2. Sous l’onglet Principal , sélectionnez l’identité attachée au centre de développement.
    3. Sélectionnez Examiner + créer, puis sélectionnez Créer.

Contrôle d’accès basé sur les rôles Azure

Si le coffre de clés est configuré pour utiliser le contrôle d’accès en fonction du rôle Azure :

  1. Dans le Portail Azure, accédez au coffre de clés qui contient le secret avec le jeton d’accès personnel.

  2. Dans le menu de gauche, sélectionnez Contrôle d’accès (IAM).

  3. Sélectionnez l’identité et, dans le menu de gauche, sélectionnez Attributions de rôles Azure.

  4. Sélectionnez Ajouter une attribution de rôle, puis entrez ou sélectionnez les informations suivantes :

    1. Pour Étendue, sélectionnez le coffre de clés.
    2. Pour l’abonnement, sélectionnez l’abonnement qui contient le coffre de clés.
    3. Pour la ressource, sélectionnez le coffre de clés.
    4. Pour rôle, sélectionnez Utilisateur des secrets Key Vault.
    5. Sélectionnez Enregistrer.

Contenu connexe