Créer ou mettre à jour des rôles personnalisés Azure à l’aide du portail AzureCreate or update Azure custom roles using the Azure portal

Si les rôles intégrés Azure ne répondent pas aux besoins spécifiques de votre organisation, vous pouvez créer vos propres rôles personnalisés Azure.If the Azure built-in roles don't meet the specific needs of your organization, you can create your own Azure custom roles. Tout comme les rôles intégrés, vous pouvez attribuer des rôles personnalisés à des utilisateurs, à des groupes et à des principaux de service dans des étendues de abonnement et de groupe de ressources.Just like built-in roles, you can assign custom roles to users, groups, and service principals at subscription and resource group scopes. Les rôles personnalisés sont stockés dans un annuaire Azure Active Directory et peuvent être partagés entre des abonnements.Custom roles are stored in an Azure Active Directory (Azure AD) directory and can be shared across subscriptions. Chaque annuaire peut avoir jusqu’à 5 000 rôles personnalisés.Each directory can have up to 5000 custom roles. Vous pouvez créer des rôles personnalisés à l’aide du portail Azure, d’Azure PowerShell, d’Azure CLI ou de l’API REST.Custom roles can be created using the Azure portal, Azure PowerShell, Azure CLI, or the REST API. Cet article explique comment créer des rôles personnalisés à l’aide du portail Azure.This article describes how to create custom roles using the Azure portal.

PrérequisPrerequisites

Pour créer des rôles personnalisés, vous avez besoin des éléments suivants :To create custom roles, you need:

Étape 1 : Déterminer les autorisations nécessairesStep 1: Determine the permissions you need

Azure dispose de plusieurs milliers d’autorisations que vous pouvez inclure dans votre rôle personnalisé.Azure has thousands of permissions that you can potentially include in your custom role. Voici quatre façons de déterminer les autorisations à ajouter à votre rôle personnalisé :Here are four ways that you can determine the permissions you will want to add to your custom role:

MéthodeMethod DescriptionDescription
Examiner des rôles existantsLook at existing roles Vous pouvez examiner des rôles existants pour voir quelles autorisations sont utilisées.You can look at existing roles to see what permissions are being used. Pour plus d’informations, voir Rôles intégrés Azure.For more information, see Azure built-in roles.
Rechercher des autorisations par mot cléSearch for permissions by keyword Lorsque vous créez un rôle personnalisé à l’aide du portail Azure, vous pouvez rechercher des autorisations par mot clé.When you create a custom role using the Azure portal, you can search for permissions by keyword. Par exemple, vous pouvez rechercher des autorisations d’ordinateur virtuel ou de facturation.For example, you can search for virtual machine or billing permissions. Cette fonctionnalité de recherche est décrite plus loin à l’Étape 4 : Autorisations.This search functionality is described more later in Step 4: Permissions.
Télécharger toutes les autorisationsDownload all permissions Lorsque vous créez un rôle personnalisé à l’aide du portail Azure, vous pouvez télécharger toutes les autorisations en tant que fichier CSV, puis Rechercher celui-ci.When you create a custom role using the Azure portal, you can download all of the permissions as a CSV file and then search this file. Dans le volet Ajouter des autorisations, cliquez sur le bouton Télécharger toutes les autorisations pour les télécharger toutes.On the Add permissions pane, click the Download all permissions button to download all of the permissions. Pour plus d’informations sur le volet Ajouter des autorisations, voir l’Étape 4 : Autorisations.For more information about the Add permissions pane, see Step 4: Permissions.
Afficher les autorisations dans les documentsView the permissions in the docs Vous pouvez afficher les autorisations disponibles dans les opérations de fournisseur de ressources Azure Resource Manager.You can view the available permissions in Azure Resource Manager resource provider operations.

Étape 2 : Choisir comment commencerStep 2: Choose how to start

Vous pouvez commencer à créer un rôle personnalisé de trois façons.There are three ways that you can start to create a custom role. Vous pouvez cloner un rôle existant, démarrer à partir de zéro ou démarrer avec un fichier JSON.You can clone an existing role, start from scratch, or start with a JSON file. Le moyen le plus simple consiste à rechercher un rôle existant disposant de la plupart des autorisations dont vous avez besoin, puis à le cloner et le modifier pour votre scénario.The easiest way is to find an existing role that has most of the permissions you need and then clone and modify it for your scenario.

Cloner un rôleClone a role

Si un rôle existant ne dispose pas de toutes les autorisations dont vous avez besoin, vous pouvez le cloner, puis modifier les autorisations.If an existing role does not quite have the permissions you need, you can clone it and then modify the permissions. Pour démarrer le clonage d’un rôle, procédez comme suit.Follow these steps to start cloning a role.

  1. Dans le portail Azure, ouvrez un abonnement ou un groupe de ressources dans lequel vous souhaitez que le rôle personnalisé soit attribuable, puis ouvrez Contrôle d’accès (IAM) .In the Azure portal, open a subscription or resource group where you want the custom role to be assignable and then open Access control (IAM).

    La capture d’écran suivante montre la page Contrôle d’accès (IAM) ouverte pour un abonnement.The following screenshot shows the Access control (IAM) page opened for a subscription.

    Page Contrôle d’accès (IAM) pour un abonnement

  2. Cliquez sur l’onglet Rôles pour afficher une liste de tous les rôles intégrés et personnalisés.Click the Roles tab to see a list of all the built-in and custom roles.

  3. Recherchez un rôle à cloner, tel que le rôle Lecteur de facturation.Search for a role you want to clone such as the Billing Reader role.

  4. À la fin de la ligne, cliquez sur les points de suspension ( ... ), puis sur Cloner.At the end of the row, click the ellipsis (...) and then click Clone.

    Menu contextuel Cloner

    Cette action ouvre l’éditeur de rôles personnalisés avec l’option Cloner un rôle sélectionnée.This opens the custom roles editor with the Clone a role option selected.

  5. Passez à l’Étape 3 : Paramètres de base.Proceed to Step 3: Basics.

Commencer à partir de zéroStart from scratch

Si vous préférez, vous pouvez suivre ces étapes pour démarrer un rôle personnalisé à partir de rien.If you prefer, you can follow these steps to start a custom role from scratch.

  1. Dans le portail Azure, ouvrez un abonnement ou un groupe de ressources dans lequel vous souhaitez que le rôle personnalisé soit attribuable, puis ouvrez Contrôle d’accès (IAM) .In the Azure portal, open a subscription or resource group where you want the custom role to be assignable and then open Access control (IAM).

  2. Cliquez sur Ajouter, puis sur Ajouter un rôle personnalisé.Click Add and then click Add custom role.

    Menu Ajouter un rôle personnalisé

    Cette action ouvre l’éditeur de rôles personnalisés avec l’option Commencer à partir de zéro sélectionnée.This opens the custom roles editor with the Start from scratch option selected.

  3. Passez à l’Étape 3 : Paramètres de base.Proceed to Step 3: Basics.

Démarrer à partir d’un JSONStart from JSON

Si vous préférez, vous pouvez spécifier la plupart des valeurs de votre rôle personnalisé dans un fichier JSON.If you prefer, you can specify most of your custom role values in a JSON file. Vous pouvez ouvrir le fichier dans l’éditeur de rôles personnalisés, apporter des modifications supplémentaires, puis créer le rôle personnalisé.You can open the file in the custom roles editor, make additional changes, and then create the custom role. Pour commencer avec un fichier JSON, procédez comme suit.Follow these steps to start with a JSON file.

  1. Créez un fichier JSON au format suivant :Create a JSON file that has the following format:

    {
        "properties": {
            "roleName": "",
            "description": "",
            "assignableScopes": [],
            "permissions": [
                {
                    "actions": [],
                    "notActions": [],
                    "dataActions": [],
                    "notDataActions": []
                }
            ]
        }
    }
    
  2. Dans le fichier JSON, spécifiez les valeurs des différentes propriétés.In the JSON file, specify values for the various properties. Voici un exemple avec des valeurs ajoutées.Here's an example with some values added. Pour obtenir des informations sur les différentes propriétés, consultez Comprendre les définitions de rôle Azure.For information about the different properties, see Understand Azure role definitions.

    {
        "properties": {
            "roleName": "Billing Reader Plus",
            "description": "Read billing data and download invoices",
            "assignableScopes": [
                "/subscriptions/11111111-1111-1111-1111-111111111111"
            ],
            "permissions": [
                {
                    "actions": [
                        "Microsoft.Authorization/*/read",
                        "Microsoft.Billing/*/read",
                        "Microsoft.Commerce/*/read",
                        "Microsoft.Consumption/*/read",
                        "Microsoft.Management/managementGroups/read",
                        "Microsoft.CostManagement/*/read",
                        "Microsoft.Support/*"
                    ],
                    "notActions": [],
                    "dataActions": [],
                    "notDataActions": []
                }
            ]
        }
    }
    
  3. Dans le portail Azure, ouvrez la page Contrôle d’accès (IAM) .In the Azure portal, open the Access control (IAM) page.

  4. Cliquez sur Ajouter, puis sur Ajouter un rôle personnalisé.Click Add and then click Add custom role.

    Menu Ajouter un rôle personnalisé

    Cette action ouvre l’éditeur de rôles personnalisés.This opens the custom roles editor.

  5. Sous l’onglet Paramètres de base, dans Autorisations de base, sélectionnez Démarrer à partir d’un JSON.On the Basics tab, in Baseline permissions, select Start from JSON.

  6. En regard de la zone Sélectionner un fichier, cliquez sur le bouton de dossier pour ouvrir la boîte de dialogue Ouvrir.Next to the Select a file box, click the folder button to open the Open dialog box.

  7. Sélectionnez votre fichier JSON, puis cliquez sur Ouvrir.Select your JSON file and then click Open.

  8. Passez à l’étape 3 : Paramètres de base.Proceed to Step 3: Basics.

Étape 3 : Concepts de baseStep 3: Basics

Sous l’onglet Paramètres de base, spécifiez le nom, la description et les autorisations de base pour votre rôle personnalisé.On the Basics tab, you specify the name, description, and baseline permissions for your custom role.

  1. Dans la zone Nom de rôle personnalisé, spécifiez un nom pour le rôle personnalisé.In the Custom role name box, specify a name for the custom role. Le nom doit être unique pour l’annuaire Azure AD.The name must be unique for the Azure AD directory. Il peut inclure des lettres, des chiffres, des espaces et des caractères spéciaux.The name can include letters, numbers, spaces, and special characters.

  2. Dans la zone Description, entrez une description facultative pour le rôle personnalisé.In the Description box, specify an optional description for the custom role. Celle-ci deviendra l’info-bulle pour le rôle personnalisé.This will become the tooltip for the custom role.

    L’option Autorisations de base devrait déjà être définie suite à l’étape précédente, mais vous pouvez la modifier.The Baseline permissions option should already be set based on the previous step, but you can change.

    Onglet Paramètres de base avec des valeurs spécifiées

Étape 4 : AutorisationsStep 4: Permissions

Sous l’onglet Autorisations, vous spécifiez les autorisations pour votre rôle personnalisé.On the Permissions tab, you specify the permissions for your custom role. Selon que vous avez cloné un rôle ou avez démarré avec un fichier JSON, il se peut que l’onglet Autorisations répertorie déjà certaines autorisations.Depending on whether you cloned a role or if you started with JSON, the Permissions tab might already list some permissions.

Onglet Autorisations pour la création d’un rôle personnalisé

Ajouter ou supprimer des autorisationsAdd or remove permissions

Pour ajouter ou supprimer des autorisations pour votre rôle personnalisé, procédez comme suit.Follow these steps to add or remove permissions for your custom role.

  1. Pour ajouter des autorisations, cliquez sur Ajouter des autorisations pour ouvrir le volet Ajouter des autorisations.To add permissions, click Add permissions to open the Add permissions pane.

    Ce volet répertorie toutes les autorisations disponibles regroupées par catégories dans un format de carte.This pane lists all available permissions grouped into different categories in a card format. Chaque catégorie représente un fournisseur de ressources, à savoir un service fournissant des ressources Azure.Each category represents a resource provider, which is a service that supplies Azure resources.

  2. Dans la zone Rechercher une autorisation, tapez une chaîne pour rechercher des autorisations.In the Search for a permission box, type a string to search for permissions. Par exemple, recherchez facture pour trouver des autorisations liées à la facture.For example, search for invoice to find permissions related to invoice.

    Une liste de cartes de fournisseur de ressources s’affiche en fonction de votre chaîne de recherche.A list of resource provider cards will be displayed based on your search string. Pour obtenir une liste qui mappe des fournisseurs de ressources à des services Azure, voir Fournisseurs de ressources pour les services Azure.For a list of how resource providers map to Azure services, see Resource providers for Azure services.

    Volet Ajouter des autorisations avec fournisseur de ressources

  3. Cliquez sur une carte de fournisseur de ressources susceptible d’avoir les autorisations que vous souhaitez ajouter à votre rôle personnalisé, par exemple Facturation Microsoft.Click a resource provider card that might have the permissions you want to add to your custom role, such as Microsoft Billing.

    Une liste des autorisations de gestion pour ce fournisseur de ressources s’affiche en fonction de votre chaîne de recherche.A list of the management permissions for that resource provider is displayed based on your search string.

    Liste Ajouter des autorisations

  4. Si vous recherchez des autorisations qui s’appliquent au plan de données, cliquez sur Actions de données.If you are looking for permissions that apply to the data plane, click Data Actions. Dans le cas contraire, laissez le bouton bascule des actions positionné sur Actions pour répertorier les autorisations qui s’appliquent au plan de gestion.Otherwise, leave the actions toggle set to Actions to list permissions that apply to the management plane. Pour plus d’informations sur les différences entre le plan de gestion et le plan de données, voir Opérations de gestion et sur les données.For more information, about the differences between the management plane and data plane, see Management and data operations.

  5. Si nécessaire, mettez à jour la chaîne de recherche pour affiner votre recherche.If necessary, update the search string to further refine your search.

  6. Une fois que vous avez trouvé une ou plusieurs autorisations à ajouter à votre rôle personnalisé, ajoutez une coche en regard des autorisations.Once you find one or more permissions you want to add to your custom role, add a check mark next to the permissions. Par exemple, ajoutez une coche en regard de Autre : Télécharger la facture pour ajouter l’autorisation de télécharger des factures.For example, add a check mark next to Other : Download Invoice to add the permission to download invoices.

  7. Cliquez sur Ajouter pour ajouter l’autorisation à votre liste d’autorisations.Click Add to add the permission to your permission list.

    L’autorisation est ajoutée en tant que Actions ou DataActions.The permission gets added as an Actions or a DataActions.

    Autorisation ajoutée

  8. Pour supprimer des autorisations, cliquez sur l’icône Supprimer à la fin de la ligne.To remove permissions, click the delete icon at the end of the row. Dans cet exemple, étant donné qu’un utilisateur n’a pas besoin de pouvoir créer des tickets de support, l’autorisation Microsoft.Support/* peut être supprimée.In this example, since a user will not need the ability to create support tickets, the Microsoft.Support/* permission can be deleted.

Ajouter des autorisations génériquesAdd wildcard permissions

Selon la façon dont vous avez choisi de commencer, il se peut que votre liste d’autorisations contienne des autorisations avec des caractères génériques (*).Depending on how you chose to start, you might have permissions with wildcards (*) in your list of permissions. Un caractère générique (*) étend une autorisation à tout ce qui correspond à la chaîne d’action que vous fournissez.A wildcard (*) extends a permission to everything that matches the action string you provide. Par exemple, la chaîne de caractères génériques suivante ajoute toutes les autorisations relatives à Azure Cost Management et aux exportations.For example, the following wildcard string adds all permissions related to Azure Cost Management and exports. Cela inclut également toutes les futures autorisations d’exportation qui pourraient être ajoutées.This would also include any future export permissions that might be added.

Microsoft.CostManagement/exports/*

Si vous souhaitez ajouter une nouvelle autorisation générique, vous ne pouvez pas le faire à l’aide du volet Ajouter des autorisations.If you want to add a new wildcard permission, you can't add it using the Add permissions pane. Pour ajouter une autorisation générique, vous devez procéder manuellement à l’aide de l’onglet JSON. Pour plus d’informations, consultez Étape 6 : JSON.To add a wildcard permission, you have to add it manually using the JSON tab. For more information, see Step 6: JSON.

Exclure les autorisationsExclude permissions

Si votre rôle a une autorisation générique (*) et que vous souhaitez exclure ou soustraire des autorisations spécifiques de cette autorisation générique, vous pouvez les exclure.If your role has a wildcard (*) permission and you want to exclude or subtract specific permissions from that wildcard permission, you can exclude them. Par exemple, supposons que vous disposez de l’autorisation générique suivante :For example, let's say that you have the following wildcard permission:

Microsoft.CostManagement/exports/*

Si vous ne souhaitez pas autoriser la suppression d’une exportation, vous pouvez exclure l’autorisation de suppression suivante :If you don't want to allow an export to be deleted, you could exclude the following delete permission:

Microsoft.CostManagement/exports/delete

Lorsque vous excluez une autorisation, celle-ci est ajoutée en tant que NotActions ou NotDataActions.When you exclude a permission, it is added as a NotActions or NotDataActions. Les autorisations de gestion effectives sont calculées en ajoutant toutes les Actions, puis en soustrayant toutes les NotActions.The effective management permissions are computed by adding all of the Actions and then subtracting all of the NotActions. Les autorisations de données effectives sont calculées en ajoutant toutes les DataActions, puis en soustrayant toutes les NotDataActions.The effective data permissions are computed by adding all of the DataActions and then subtracting all of the NotDataActions.

Notes

Une exclusion d’autorisation n’est pas la même chose qu’un refus.Excluding a permission is not the same as a deny. L’exclusion d’autorisations est simplement un moyen pratique de soustraire des autorisations d’une autorisation générique.Excluding permissions is simply a convenient way to subtract permissions from a wildcard permission.

  1. Pour exclure ou soustraire une autorisation d’une autorisation générique accordée, cliquez sur Exclure les autorisations pour ouvrir le volet Exclure les autorisations.To exclude or subtract a permission from an allowed wildcard permission, click Exclude permissions to open the Exclude permissions pane.

    Dans ce volet, vous spécifiez les autorisations de gestion ou de données qui sont exclues ou soustraites.On this pane, you specify the management or data permissions that are excluded or subtracted.

  2. Une fois que vous avez trouvé une ou plusieurs autorisations à exclure, ajoutez une coche en regard des autorisations, puis cliquez sur le bouton Ajouter.Once you find one or more permissions that you want to exclude, add a check mark next to the permissions and then click the Add button.

    Volet Exclure les autorisations avec une autorisation sélectionnée

    L’autorisation est ajoutée en tant que NotActions ou NotDataActions.The permission gets added as a NotActions or NotDataActions.

    Autorisation exclue

Étape 5 : Étendues attribuablesStep 5: Assignable scopes

Sous l’onglet Étendues attribuables, spécifiez l’emplacement où votre rôle personnalisé est disponible pour affectation, par exemple, un abonnement ou un groupe de ressources.On the Assignable scopes tab, you specify where your custom role is available for assignment, such as subscription or resource group. Selon la façon dont vous avez choisi de commencer, cet onglet peut répertorier l’étendue dans laquelle vous avez ouvert la page Contrôle d’accès (IAM).Depending on how you chose to start, this tab might list the scope where you opened the Access control (IAM) page. La définition de l’étendue attribuable sur l’étendue racine (« / ») n’est pas prise en charge.Setting assignable scope to root scope ("/") is not supported. Actuellement, vous ne pouvez pas ajouter un groupe d’administration en tant qu’étendue attribuable.Currently, you cannot add a management group as an assignable scope.

  1. Cliquez sur Ajouter des étendues attribuables pour ouvrir le volet Ajouter des étendues attribuables.Click Add assignable scopes to open the Add assignable scopes pane.

    Onglet Étendues attribuables

  2. Cliquez sur une ou plusieurs étendues à utiliser, généralement votre abonnement.Click one or more scopes that you want to use, typically your subscription.

    Ajouter des étendues attribuables

  3. Cliquez sur le bouton Ajouter pour ajouter votre étendue attribuable.Click the Add button to add your assignable scope.

Étape 6 : JSONStep 6: JSON

Sous l’onglet JSON, vous voyez votre rôle personnalisé au format JSON.On the JSON tab, you see your custom role formatted in JSON. Si vous le souhaitez, vous pouvez modifier directement le JSON.If you want, you can directly edit the JSON. Si vous souhaitez ajouter une autorisation générique (*), vous devez utiliser cet onglet.If you want to add a wildcard (*) permission, you must use this tab.

  1. Pour modifier le JSON, cliquez sur Modifier.To edit the JSON, click Edit.

    Onglet JSON présentant un rôle personnalisé

  2. Modifiez le JSON.Make changes to the JSON.

    Si le JSON n’est pas mis en forme correctement, une ligne en escalier rouge et un indicateur apparaissent dans la marge verticale.If the JSON is not formatted correctly, you will see a red jagged line and an indicator in the vertical gutter.

  3. Une fois la modification terminée, cliquez sur Enregistrer.When finished editing, click Save.

Étape 7 : Vérifier + créerStep 7: Review + create

Sous l’onglet Vérifier + créer, vous pouvez vérifier les paramètres de votre rôle personnalisé.On the Review + create tab, you can review your custom role settings.

  1. Vérifiez les paramètres de votre rôle personnalisé.Review your custom role settings.

    Onglet Vérifier + créer

  2. Cliquez sur Créer pour créer votre rôle personnalisé.Click Create to create your custom role.

    Après quelques instants, une zone de message s’affiche, indiquant que votre rôle personnalisé a été créé avec succès.After a few moments, a message box appears indicating your custom role was successfully created.

    Créer un message de rôle personnalisé

    Si des erreurs sont détectées, un message s’affiche.If any errors are detected, a message will be displayed.

    Erreur Vérifier + créer

  3. Affichez votre nouveau rôle personnalisé dans la liste Rôles.View your new custom role in the Roles list. Si vous ne voyez pas votre rôle personnalisé, cliquez sur Actualiser.If you don't see your custom role, click Refresh.

    Plusieurs minutes peuvent s’écouler avant que votre rôle personnalisé s’affiche partout.It can take a few minutes for your custom role to appear everywhere.

Répertorier les rôles personnalisésList custom roles

Pour afficher vos rôles personnalisés, procédez comme suit.Follow these steps to view your custom roles.

  1. Ouvrez un abonnement ou un groupe de ressources, puis ouvrez Contrôle d’accès (IAM) .Open a subscription or resource group and then open Access control (IAM).

  2. Cliquez sur l’onglet Rôles pour afficher une liste de tous les rôles intégrés et personnalisés.Click the Roles tab to see a list of all the built-in and custom roles.

  3. Dans la liste Type, sélectionnez CustomRole pour voir vos rôles personnalisés.In the Type list, select CustomRole to just see your custom roles.

    Si vous venez de créer votre rôle personnalisé et ne le voyez pas dans la liste, cliquez sur Actualiser.If you just created your custom role and you don't see it in the list, click Refresh.

    Liste Rôle personnalisé

Mettre à jour un rôle personnaliséUpdate a custom role

  1. Comme décrit précédemment dans cet article, ouvrez votre liste de rôles personnalisés.As described earlier in this article, open your list of custom roles.

  2. Cliquez sur les points de suspension ( ... ) pour le rôle personnalisé à mettre à jour, puis cliquez sur Modifier.Click the ellipsis (...) for the custom role you want to update and then click Edit. Notez que vous ne pouvez pas mettre à jour des rôles intégrés.Note that you can't update built-in roles.

    Le rôle personnalisé s’ouvre dans l’éditeur.The custom role is opened in the editor.

    Menu Rôle personnalisé

  3. Utilisez les différents onglets pour mettre à jour le rôle personnalisé.Use the different tabs to update the custom role.

  4. Une fois vos modifications apportées, cliquez sur l’onglet Vérifier + créer pour passer en revue vos modifications.Once you are finished with your changes, click the Review + create tab to review your changes.

  5. Cliquez sur le bouton Mettre à jour pour mettre à jour votre rôle personnalisé.Click the Update button to update your custom role.

Supprimer un rôle personnaliséDelete a custom role

  1. Comme décrit précédemment dans cet article, ouvrez votre liste de rôles personnalisés.As described earlier in this article, open your list of custom roles.

  2. Supprimez toutes les attributions de rôles qui utilisent le rôle personnalisé.Remove any role assignments that using the custom role.

  3. Cliquez sur les points de suspension ( ... ) pour le rôle personnalisé à supprimer, puis cliquez sur Supprimer.Click the ellipsis (...) for the custom role you want to delete and then click Delete.

    Menu Rôle personnalisé

    Plusieurs minutes peuvent s’écouler avant que votre rôle personnalisé soit complètement supprimé.It can take a few minutes for your custom role to be completely deleted.

Étapes suivantesNext steps