Gérer l’accès au service Test de charge Azure

  • Article

Cet article explique comment gérer l’accès (autorisation) à une ressource de test de charge Azure. Le contrôle d’accès en fonction du rôle Azure (Azure RBAC) est utilisé pour gérer l’accès aux ressources Azure, comme la possibilité de créer des ressources ou d’utiliser celles qui existent déjà. Vous pouvez accorder un accès en fonction du rôle aux utilisateurs à l’aide du Portail Azure, des outils en ligne de commande Azure ou des API de gestion Azure.

Prérequis

Pour attribuer des rôles Azure, votre compte Azure doit avoir :

Pour créer une ressource de test de charge, votre compte Azure doit avoir :

  • Autorisation de créer des ressources dans le groupe de ressources pour la ressource de test de charge, telle que le rôle contributeur ou rôle propriétaire.

Rôles dans Test de charge Azure

Dans Test de charge Azure, l’accès est octroyé en attribuant le rôle Azure approprié aux utilisateurs, groupes et applications au niveau de l’étendue de la ressource de test de charge. Voici les rôles intégrés pris en charge par une ressource de test de charge :

Rôle Description
Lecteur de test de charge Actions de lecture seule dans la ressource de test de charge. Les lecteurs peuvent répertorier et afficher des tests et séries de tests dans la ressource. Les lecteurs ne peuvent pas créer, mettre à jour ou exécuter des tests.
Contributeur de test de charge Affichage, création, modification ou suppression (le cas échéant) de tests et séries de tests dans une ressource de test de charge.
Propriétaire de test de charge Accès total à une ressource de test de charge, avec possibilité d’afficher, de créer, de modifier ou de supprimer (le cas échéant) des composants d’une ressource. Par exemple, vous pouvez modifier ou supprimer la ressource de test de charge.

Si vous avez le rôle Propriétaire, Contributeur ou Propriétaire de test de charge au niveau de l’abonnement, vous disposez automatiquement des mêmes autorisations que le propriétaire de test de charge au niveau de la ressource.

Important

L'accès en fonction du rôle peut être limité à plusieurs niveaux dans Azure. Par exemple, un utilisateur disposant d’un accès de type propriétaire à une ressource peut ne pas disposer d’un accès du même type au groupe de ressources contenant cette ressource. Pour plus d’informations, consultez Fonctionnement du contrôle d’accès en fonction du rôle Azure (Azure RBAC).

Autorisations des rôles

Les tableaux suivants décrivent les autorisations spécifiques à chaque rôle. Ces autorisations d’accès peuvent inclure des actions, qui donnent des autorisations, et des non actions, qui les limitent.

Propriétaire de test de charge

Un propriétaire de test de charge peut tout gérer, y compris l’accès. Le tableau suivant présente les autorisations accordées pour le rôle :

Actions Description
Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de ressources.
Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.
Microsoft.Insights/alertRules/* Créer et gérer les règles d’alerte.
Microsoft.Authorization/*/read Lire l’autorisation.
Microsoft.LoadTestService/* Créer et gérer des ressources de test de charge.
DataActions Description
Microsoft.LoadTestService/loadtests/* Démarrer, arrêter et gérer des tests de charge.

Contributeur de test de charge

Un contributeur de test de charge peut tout gérer, sauf les accès. Le tableau suivant présente les autorisations accordées pour le rôle :

Actions Description
Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de ressources.
Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.
Microsoft.Insights/alertRules/* Créer et gérer les règles d’alerte.
Microsoft.Authorization/*/read Lire l’autorisation.
Microsoft.LoadTestService/*/read Créer et gérer des ressources de test de charge.
DataActions Description
Microsoft.LoadTestService/loadtests/* Démarrer, arrêter et gérer des tests de charge.

Lecteur de test de charge

Un lecteur de test de charge peut voir toutes les ressources d’une ressource de test de charge, mais ne peut apporter aucune modification. Le tableau suivant présente les autorisations accordées pour le rôle :

Actions Description
Microsoft.Resources/deployments/* Créer et gérer les déploiements de groupes de ressources.
Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.
Microsoft.Insights/alertRules/* Créer et gérer les règles d’alerte.
Microsoft.Authorization/*/read Lire l’autorisation.
Microsoft.LoadTestService/*/read Créer et gérer des ressources de test de charge.
DataActions Description
Microsoft.LoadTestService/loadtests/readTest/action Lire les tests de charge.

Configurer RBAC Azure pour votre ressource de test de charge

La section suivante vous explique comment configurer RBAC Azure sur votre ressource de test de charge via le portail Azure et PowerShell.

Configurer Azure RBAC à l’aide du portail Azure

  1. Connectez-vous au portail Azure et ouvrez votre ressource de test de charge à partir de la page Test de charge Azure.

  2. Sélectionnez Contrôle d’accès (IAM) et sélectionnez un rôle dans la liste des rôles disponibles. Vous pouvez choisir un des rôles intégrés disponibles pris en charge par une ressource Test de charge Azure ou un rôle personnalisé que vous avez défini. Attribuez le rôle à un utilisateur auquel vous souhaitez accorder des autorisations.

    Pour connaître les étapes détaillées, consultez Attribuer des rôles Azure à l’aide du portail Azure.

Supprimer des attributions de rôles d’un utilisateur

Vous pouvez supprimer l’autorisation d’accès d’un utilisateur qui ne gère pas la ressource Test de charge Azure ou qui ne travaille plus pour l’organisation. Les étapes suivantes montrent comment supprimer les attributions de rôles d’un utilisateur. Pour obtenir des instructions détaillées, consultez Supprimer les attributions de rôles Azure :

  1. Ouvrez Contrôle d’accès (IAM) dans une étendue, par exemple un groupe d’administration, un abonnement, un groupe de ressources ou une ressource pour lesquels vous souhaitez supprimer l’accès.

  2. Cliquez sur l’onglet Attributions de rôles afin d’afficher toutes les attributions de rôles pour cette étendue.

  3. Dans la liste des attributions de rôle, ajoutez une coche en regard de l’utilisateur comportant l’attribution de rôle à supprimer.

  4. Sélectionnez Supprimer, puis Oui pour confirmer.

Configurer Azure RBAC à l’aide de PowerShell

Vous pouvez également configurer l’accès en fonction du rôle pour une ressource de test de charge en utilisant les cmdlets Azure PowerShell suivantes :

  • Get-AzRoleDefinition répertorie tous les rôles Azure qui sont disponibles dans Microsoft Entra ID. Vous pouvez utiliser cette cmdlet avec le paramètre Name pour lister toutes les actions qu’un rôle spécifique peut effectuer.

    Get-AzRoleDefinition -Name 'Load Test Contributor'

    L’extrait suivant est le résultat de l’exemple :

    Name             : Load Test Contributor
Id               : 00000000-0000-0000-0000-000000000000
IsCustom         : False
Description      : View, create, update, delete and execute load tests. View and list load test resources but can not make any changes.
Actions          : {Microsoft.LoadTestService/*/read, Microsoft.Authorization/*/read, Microsoft.Resources/deployments/*, Microsoft.Resources/subscriptions/resourceGroups/read…}
NotActions       : {}
DataActions      : {Microsoft.LoadTestService/loadtests/*}
NotDataActions   : {}
AssignableScopes : {/}

  • Get-AzRoleAssignment répertorie les attributions de rôle Azure dans l’étendue spécifiée. Sans paramètres, cette cmdlet renvoie toutes les attributions de rôle effectuées dans l’abonnement. Utilisez le paramètre ExpandPrincipalGroups pour répertorier les affectations d’accès de l’utilisateur spécifié et les groupes auxquels l’utilisateur appartient.

    Exemple : utilisez la cmdlet suivante pour lister tous les utilisateurs et leurs rôles dans une ressource de test de charge.

    Get-AzRoleAssignment -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.LoadTestService/loadtests/<Load Test Name>'

  • Utilisez New-AzRoleAssignment pour attribuer un accès à des utilisateurs, des groupes et des applications à une étendue particulière.

    Exemple : utilisez la commande suivante pour attribuer le rôle « Lecteur de test de charge » pour un utilisateur dans l’étendue des ressources de test de charge.

    New-AzRoleAssignment -SignInName <sign-in Id of a user you wish to grant access> -RoleDefinitionName 'Load Test Reader' -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.LoadTestService/loadtests/<Load Testing resource name>'

  • Utilisez Remove-AzRoleAssignment pour supprimer l’accès d’un utilisateur, groupe ou application spécifié dans une étendue particulière.

    Exemple : utilisez la commande suivante pour supprimer l’utilisateur du rôle Lecteur de test de charge dans l’étendue des ressources de test de charge.

    Remove-AzRoleAssignment -SignInName <sign-in Id of a user you wish to remove> -RoleDefinitionName 'Load Test Reader' -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.LoadTestService/loadtests/<Load Testing resource name>'

Dépannage

Cette section répertorie les étapes permettant de résoudre les problèmes courants liés à l’accès utilisateur dans le Test de charge Azure.

Impossible de créer ou d’exécuter un test avec You are not authorized to use this resource

Vous rencontrerez ce message si votre compte Azure ne dispose pas des autorisations d’accès nécessaires pour gérer les tests. Veillez à accorder à l’utilisateur le rôle propriétaire du test de charge ou contributeur de test de charge sur la ressource de test de charge.

Screenshot that shows an error message in the Azure portal that you're not authorized to use the Azure Load Testing resource.

Contenu connexe