Contrôle d’accès en fonction du rôle Azure dans Azure Lab Services
Azure Lab Services fournit un contrôle d’accès en fonction du rôle Azure intégré (Azure RBAC) pour les scénarios de gestion courants dans Azure Lab Services. Une personne disposant d’un profil dans Microsoft Entra ID peut attribuer ces rôles Azure aux utilisateurs, groupes, principaux de service ou identités managées pour accorder ou refuser l’accès aux ressources et aux opérations sur les ressources Azure Lab Services. Cet article décrit les différents rôles intégrés pris en charge par Azure Lab Services.
Le contrôle d’accès en fonction du rôle (RBAC) Azure est un système d’autorisation basé sur Azure Resource Manager, qui permet une gestion précise des accès des ressources Azure.
Azure RBAC spécifie les définitions de rôle intégrées qui décrivent les autorisations à appliquer. Vous affectez un utilisateur ou un groupe à cette définition de rôle via une attribution de rôle pour une étendue particulière. L’étendue peut être une ressource spécifique, un groupe de ressources ou l’ensemble de l’abonnement. Dans la section suivante, vous allez découvrir les rôles intégrés pris en charge par Azure Lab Services.
Pour plus d’informations, consultez Qu’est-ce que le contrôle d’accès en fonction du rôle Azure (Azure RBAC) ?
Remarque
Lorsque vous apportez des modifications d’attribution de rôle, la propagation de ces mises à jour peut prendre quelques minutes.
Rôles intégrés
Dans cet article, les rôles intégrés Azure sont regroupés logiquement en deux types de rôles, en fonction de leur étendue d’influence :
- rôles Administration istrateur : influencer les autorisations pour les plans de laboratoire et les labos
- Rôles de gestion de laboratoire : influencer les autorisations pour les laboratoires
Voici les rôles intégrés pris en charge par Azure Lab Services :
| Type de rôle | Rôle intégré | Description |
|---|---|---|
| Administrateur | Propriétaire | Accordez un contrôle total pour créer/gérer des plans de laboratoire et des labos, et accordez des autorisations à d’autres utilisateurs. En savoir plus sur le rôle Propriétaire. |
| Administrateur | Contributeur | Accordez un contrôle total pour créer/gérer des plans de laboratoire et des labos, à l’exception de l’attribution de rôles à d’autres utilisateurs. En savoir plus sur le rôle Contributeur. |
| Administrateur | Contributeur de Services Lab | Accordez les mêmes autorisations que le rôle Propriétaire, à l’exception de l’attribution de rôles. En savoir plus sur le rôle Contributeur Lab Services. |
| Gestion des laboratoires | Créateur Lab | Accordez l’autorisation de créer des laboratoires et contrôlez complètement les laboratoires qu’ils créent. En savoir plus sur le rôle Créateur de laboratoire. |
| Gestion des laboratoires | Contributeur Lab | Accordez l’autorisation de gérer un laboratoire existant, mais ne créez pas de laboratoires. En savoir plus sur le rôle Contributeur de laboratoire. |
| Gestion des laboratoires | Assistant Lab | Accordez l’autorisation d’afficher un laboratoire existant. Peut également démarrer, arrêter ou réimager n’importe quelle machine virtuelle dans le labo. En savoir plus sur le rôle Assistant Lab. |
| Gestion des laboratoires | Lecteur de Services Lab | Accordez l’autorisation d’afficher les laboratoires existants. En savoir plus sur le rôle Lecteur Lab Services. |
Étendue de l’attribution de rôle
Dans Azure RBAC, l’étendue est l’ensemble de ressources auxquelles l’accès s’applique. Lorsque vous attribuez un rôle, il est important de comprendre l’étendue afin que vous accordiez uniquement l’accès nécessaire.
Dans Azure, vous pouvez spécifier une étendue à quatre niveaux : groupe d’administration, abonnement, groupe de ressources et ressource. Les étendues sont structurées dans une relation parent-enfant. Chaque niveau de hiérarchie rend l’étendue plus spécifique. Vous pouvez attribuer des rôles à n’importe de ces niveaux d’étendue. Le niveau que vous sélectionnez détermine la portée d’application du rôle. Les niveaux inférieurs héritent des autorisations de rôle des niveaux supérieurs. En savoir plus sur l’étendue du RBAC Azure.
Pour Azure Lab Services, tenez compte des étendues suivantes :
| Étendue | Description |
|---|---|
| Abonnement | Permet de gérer la facturation et la sécurité de toutes les ressources et services Azure. En règle générale, seuls les administrateurs disposent d’un accès au niveau de l’abonnement, car cette attribution de rôle accorde l’accès à toutes les ressources de l’abonnement. |
| Resource group | Conteneur logique pour regrouper des ressources. L’attribution de rôle pour le groupe de ressources accorde l’autorisation au groupe de ressources et à toutes les ressources qu’il contient, telles que les laboratoires et les plans de laboratoire. |
| Plan de labo | Ressource Azure utilisée pour appliquer des paramètres de configuration courants lorsque vous créez un laboratoire. L’attribution de rôle pour le plan lab accorde uniquement l’autorisation à un plan de laboratoire spécifique. |
| Laboratoire | Ressource Azure utilisée pour appliquer des paramètres de configuration courants pour la création et l’exécution de machines virtuelles lab. L’attribution de rôle pour le labo accorde l’autorisation uniquement à un laboratoire spécifique. |
Important
Dans Azure Lab Services, les plans de laboratoire et les laboratoires sont des ressources frères les unes des autres. Par conséquent, les laboratoires n’héritent pas des attributions de rôles du plan de laboratoire. Toutefois, les attributions de rôles du groupe de ressources sont héritées par les plans de laboratoire et les laboratoires de ce groupe de ressources.
Rôles pour les activités courantes du labo
Le tableau suivant présente les activités courantes du labo et le rôle nécessaire pour qu’un utilisateur effectue cette activité.
| Activité | Type de rôle | Rôle | Étendue |
|---|---|---|---|
| Accordez l’autorisation de créer un groupe de ressources. Un groupe de ressources est un conteneur logique dans Azure pour contenir les plans de laboratoire et les labos. Avant de pouvoir créer un plan de laboratoire ou un labo, ce groupe de ressources doit exister. | Administrateur | Propriétaire ou Contributeur | Abonnement |
| Accordez l’autorisation d’envoyer un ticket de support Microsoft, notamment pour demander la capacité. | Administrateur | Propriétaire, Contributeur, Contributeur demande de support | Abonnement |
| Accordez l’autorisation à : - Attribuer des rôles à d’autres utilisateurs. - Créer/gérer des plans de laboratoire, des labos et d’autres ressources au sein du groupe de ressources. - Activer/désactiver la Place de marché et les images personnalisées sur un plan lab. - Attacher/détacher la galerie de calcul sur un plan lab. |
Administrateur | Propriétaire | Resource group |
| Accordez l’autorisation à : - Créer/gérer des plans de laboratoire, des labos et d’autres ressources au sein du groupe de ressources. - Activer ou désactiver des images Place de marché Azure et personnalisées sur un plan lab. Toutefois, pas la possibilité d’attribuer des rôles à d’autres utilisateurs. |
Administrateur | Contributeur | Resource group |
| Accordez l’autorisation de créer ou de gérer vos propres laboratoires pour tous les plans de laboratoire au sein d’un groupe de ressources. | Gestion des laboratoires | Créateur Lab | Resource group |
| Accordez l’autorisation de créer ou de gérer vos propres laboratoires pour un plan de laboratoire spécifique. | Gestion des laboratoires | Créateur Lab | Plan de labo |
| Accordez l’autorisation de co-gérer un laboratoire, mais pas la possibilité de créer des labos. | Gestion des laboratoires | Contributeur Lab | Laboratoire |
| Accordez l’autorisation de démarrer/arrêter/de réimager des machines virtuelles pour tous les laboratoires au sein d’un groupe de ressources. | Gestion des laboratoires | Assistant Lab | Resource group |
| Accordez l’autorisation de démarrer/arrêter/de réimager des machines virtuelles pour un laboratoire spécifique. | Gestion des laboratoires | Assistant Lab | Laboratoire |
Important
L’abonnement d’une organisation est utilisé pour gérer la facturation et la sécurité de toutes les ressources et services Azure. Vous pouvez attribuer le rôle Propriétaire ou Contributeur sur l’abonnement. En règle générale, seuls les administrateurs disposent d’un accès au niveau de l’abonnement, car cela inclut un accès complet à toutes les ressources de l’abonnement.
Rôles Administrateur
Pour accorder aux utilisateurs l’autorisation de gérer Azure Lab Services au sein de l’abonnement de votre organisation, vous devez leur attribuer le rôle Propriétaire, Contributeur ou Contributeur Lab Services.
Attribuez ces rôles sur le groupe de ressources. Les plans de laboratoire et les labos au sein du groupe de ressources héritent de ces attributions de rôles.
Le tableau suivant compare les différents rôles d’administrateur lorsqu’ils sont affectés sur le groupe de ressources.
| Plan de laboratoire/Lab | Activité | Propriétaire | Contributeur | Contributeur de Services Lab |
|---|---|---|---|---|
| Plan de labo | Afficher tous les plans de laboratoire dans le groupe de ressources | Oui | Oui | Oui |
| Plan de labo | Créer, modifier ou supprimer tous les plans de laboratoire dans le groupe de ressources | Oui | Oui | Oui |
| Plan de labo | Attribuer des rôles à des plans lab au sein du groupe de ressources | Oui | Non | No |
| Laboratoire | Créer des laboratoires dans le groupe de ressources** | Oui | Oui | Oui |
| Laboratoire | Afficher les laboratoires d’autres utilisateurs au sein du groupe de ressources | Oui | Oui | Oui |
| Laboratoire | Modifier ou supprimer des laboratoires d’autres utilisateurs au sein du groupe de ressources | Oui | Oui | No |
| Laboratoire | Attribuer des rôles aux laboratoires d’autres utilisateurs au sein du groupe de ressources | Oui | Non | No |
** Les utilisateurs reçoivent automatiquement l’autorisation d’afficher, de modifier les paramètres, de supprimer et d’attribuer des rôles pour les labos qu’ils créent.
Rôle de propriétaire
Attribuez le rôle Propriétaire pour donner à un utilisateur un contrôle total pour créer ou gérer des plans de laboratoire et des labos, et accorder des autorisations à d’autres utilisateurs. Lorsqu’un utilisateur a le rôle Propriétaire sur le groupe de ressources, il peut effectuer les activités suivantes sur toutes les ressources du groupe de ressources :
- Attribuez des rôles aux administrateurs afin qu’ils puissent gérer les ressources associées au laboratoire.
- Attribuez des rôles aux gestionnaires de laboratoires afin qu’ils puissent créer et gérer des laboratoires.
- Créez des plans de laboratoire et des labos.
- Affichez, supprimez et modifiez les paramètres de tous les plans de laboratoire, notamment l’attachement ou le détachement de la galerie de calcul et l’activation ou la désactivation de Place de marché Azure et d’images personnalisées sur les plans de laboratoire.
- Affichez, supprimez et modifiez les paramètres de tous les laboratoires.
Attention
Lorsque vous attribuez le rôle Propriétaire ou Contributeur sur le groupe de ressources, ces autorisations s’appliquent également aux ressources non liées au labo qui existent dans le groupe de ressources. Par exemple, les ressources telles que les réseaux virtuels, les comptes de stockage, les galeries de calcul, etc.
Rôle Contributeur
Attribuez le rôle Contributeur pour donner à un utilisateur un contrôle total pour créer ou gérer des plans de laboratoire et des labos au sein d’un groupe de ressources. Le rôle Contributeur dispose des mêmes autorisations que le rôle Propriétaire, à l’exception des suivants :
- Exécution d’attributions de rôles
Rôle Contributeur Lab Services
Le contributeur Lab Services est le plus restrictif des rôles d’administrateur. Attribuez le rôle Contributeur Lab Services pour activer les mêmes activités que le rôle Propriétaire, à l’exception des suivants :
- Exécution d’attributions de rôles
- Modification ou suppression des laboratoires d’autres utilisateurs
Remarque
Le rôle Contributeur Lab Services n’autorise pas les modifications apportées aux ressources qui ne sont pas liées à Azure Lab Services. En revanche, le rôle Contributeur autorise les modifications apportées à toutes les ressources Azure au sein du groupe de ressources.
Rôles de gestion de laboratoire
Utilisez les rôles suivants pour accorder aux utilisateurs des autorisations pour créer et gérer des laboratoires :
- Créateur Lab
- Contributeur Lab
- Assistant Lab
- Lecteur de Services Lab
Ces rôles de gestion de labo accordent uniquement l’autorisation d’afficher les plans de laboratoire. Ces rôles n’autorisent pas la création, la modification, la suppression ou l’attribution de rôles à des plans de laboratoire. En outre, les utilisateurs disposant de ces rôles ne peuvent pas attacher ou détacher une galerie de calcul et activer ou désactiver des images de machine virtuelle.
Rôle Créateur de laboratoire
Attribuez le rôle Créateur de laboratoire pour accorder à un utilisateur l’autorisation de créer des labos et contrôlez complètement les laboratoires qu’ils créent. Par exemple, ils peuvent modifier les paramètres de leurs laboratoires, supprimer leurs laboratoires et même accorder à d’autres utilisateurs l’autorisation de leurs laboratoires.
Attribuez le rôle Créateur de laboratoire sur le groupe de ressources ou le plan lab.
Le tableau suivant compare l’attribution de rôle Créateur de laboratoire pour le groupe de ressources ou le plan lab.
| Activité | Resource group | Plan de labo |
|---|---|---|
| Créer des laboratoires dans le groupe de ressources** | Oui | Oui |
| Afficher les laboratoires qu’ils ont créés | Oui | Oui |
| Afficher les laboratoires d’autres utilisateurs au sein du groupe de ressources | Oui | No |
| Modifier ou supprimer des laboratoires créés par l’utilisateur | Oui | Oui |
| Modifier ou supprimer des laboratoires d’autres utilisateurs au sein du groupe de ressources | No | No |
| Attribuer des rôles aux laboratoires d’autres utilisateurs au sein du groupe de ressources | No | No |
** Les utilisateurs reçoivent automatiquement l’autorisation d’afficher, de modifier les paramètres, de supprimer et d’attribuer des rôles pour les labos qu’ils créent.
Rôle Contributeur de laboratoire
Attribuez le rôle Contributeur de laboratoire pour accorder à un utilisateur l’autorisation de gérer un labo existant.
Attribuez le rôle Contributeur de laboratoire sur le labo.
Lorsque vous attribuez le rôle Contributeur de laboratoire sur le labo, l’utilisateur peut gérer le labo affecté. Plus précisément, l’utilisateur :
- Peut afficher, modifier tous les paramètres ou supprimer le labo affecté.
- L’utilisateur ne peut pas afficher les laboratoires d’autres utilisateurs.
- Impossible de créer de nouveaux laboratoires.
Rôle Assistant Lab
Attribuez le rôle Assistant Lab pour accorder à un utilisateur l’autorisation d’afficher un labo, puis démarrez, arrêtez et réimagez des machines virtuelles de laboratoire pour le labo.
Attribuez le rôle Assistant Lab sur le groupe de ressources ou le labo.
Lorsque vous attribuez le rôle Assistant Lab sur le groupe de ressources, l’utilisateur :
- Peut afficher tous les laboratoires au sein du groupe de ressources et démarrer, arrêter ou réimager des machines virtuelles de laboratoire pour chaque laboratoire.
- Impossible de supprimer ou d’apporter d’autres modifications aux laboratoires.
Lorsque vous attribuez le rôle Assistant Lab sur le labo, l’utilisateur :
- Peut afficher le labo affecté et démarrer, arrêter ou réimager des machines virtuelles de laboratoire.
- Impossible de supprimer ou d’apporter d’autres modifications au labo.
- Impossible de créer de nouveaux laboratoires.
Lorsque vous avez le rôle Assistant Lab, pour afficher les autres laboratoires auxquels vous avez accès, veillez à choisir le filtre Tous les labos dans le site web Azure Lab Services.
Rôle Lecteur Lab Services
Attribuez le rôle Lecteur Lab Services pour accorder une vue d’autorisation utilisateur aux laboratoires existants. L’utilisateur ne peut apporter aucune modification aux laboratoires existants.
Attribuez le rôle Lecteur Lab Services sur le groupe de ressources ou le labo.
Lorsque vous attribuez le rôle Lecteur Lab Services sur le groupe de ressources, l’utilisateur peut :
- Affichez tous les labos au sein du groupe de ressources.
Lorsque vous attribuez le rôle Lecteur Lab Services sur le labo, l’utilisateur peut :
- Affichez uniquement le labo spécifique.
Gestion des identités et des accès
La page Contrôle d’accès (IAM) du Portail Azure est utilisée pour configurer le contrôle d’accès en fonction du rôle Azure sur les ressources Azure Lab Services. Vous pouvez utiliser des rôles intégrés pour les individus et les groupes dans Active Directory. La capture d’écran suivante montre l’intégration Active Directory (Azure RBAC) à l’aide du contrôle d’accès (IAM) dans le Portail Microsoft Azure :
Pour connaître les étapes détaillées, consultez Attribuer des rôles Azure à l’aide du portail Azure.
Structure de plan de groupe de ressources et de laboratoire
Votre organisation doit investir du temps avant de planifier la structure des groupes de ressources et des plans de laboratoire. Cela est particulièrement important lorsque vous affectez des rôles sur le groupe de ressources, car il applique également des autorisations à toutes les ressources du groupe de ressources.
Pour vous assurer que les utilisateurs sont autorisés uniquement aux ressources appropriées :
Créez des groupes de ressources qui contiennent uniquement des ressources liées au laboratoire.
Organisez les plans de laboratoire et les labos en groupes de ressources distincts en fonction des utilisateurs qui doivent avoir accès.
Par exemple, vous pouvez créer des groupes de ressources distincts pour différents services afin d’isoler les ressources de laboratoire de chaque service. Les créateurs de laboratoires d’un service peuvent ensuite disposer d’autorisations sur le groupe de ressources, ce qui leur accorde uniquement l’accès aux ressources du laboratoire de leur service.
Important
Planifiez la structure du groupe de ressources et du plan de laboratoire en amont, car il n’est pas possible de déplacer des plans de laboratoire ou des labos vers un autre groupe de ressources une fois qu’ils ont été créés.
Accès à plusieurs groupes de ressources
Vous pouvez accorder aux utilisateurs l’accès à plusieurs groupes de ressources. Sur le site web Azure Lab Services, l’utilisateur peut ensuite choisir dans la liste des groupes de ressources pour afficher ses laboratoires.
Accès à plusieurs plans de laboratoire
Vous pouvez accorder aux utilisateurs l’accès à plusieurs plans de laboratoire. Par exemple, lorsque vous affectez le rôle Créateur de laboratoire à un utilisateur sur un groupe de ressources qui contient plusieurs plans de laboratoire. L’utilisateur peut ensuite choisir dans la liste des plans de laboratoire lors de la création d’un laboratoire.
Étapes suivantes
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour