Gérer l’accès aux ressources Azure à l’aide du contrôle d’accès en fonction du rôle et du portail AzureManage access to Azure resources using RBAC and the Azure portal

Le contrôle d'accès en fonction du rôle (RBAC) vous permet de gérer l'accès aux ressources Azure.Role-based access control (RBAC) is the way that you manage access to Azure resources. Cet article explique comment gérer l’accès à l’aide du portail Azure.This article describes how you manage access using the Azure portal. Si vous avez besoin gérer l’accès à Azure Active Directory, voir Afficher et attribuer des rôles d’administrateur dans Azure Active Directory.If you need to manage access to Azure Active Directory, see View and assign administrator roles in Azure Active Directory.

PrérequisPrerequisites

Pour ajouter et supprimer des attributions de rôles, vous devez disposer :To add and remove role assignments, you must have:

Vue d’ensemble du contrôle d’accès (IAM)Overview of Access control (IAM)

Le panneau Contrôle d’accès (IAM) vous permet de gérer l’accès aux ressources Azure.Access control (IAM) is the blade that you use to manage access to Azure resources. Il permet de gérer les identités et les accès et apparaît dans plusieurs emplacements du portail Azure.It's also known as identity and access management and appears in several locations in the Azure portal. Voici un exemple de panneau Contrôle d'accès (IAM) pour un abonnement.The following shows an example of the Access control (IAM) blade for a subscription.

Panneau Contrôle d’accès (IAM) pour un abonnement

Le tableau suivant décrit l’usage de certains éléments :The following table describes what some of the elements are use for:

# ÉlémentElement Ce pour quoi vous l’utilisezWhat you use it for
11 Ressources dans lesquelles le contrôle d’accès (IAM) est ouvertResource where Access control (IAM) is opened Identifier l’étendue (abonnement dans cet exemple)Identify scope (subscription in this example)
22 Bouton AjouterAdd button Ajouter des attributions de rôleAdd role assignments
33 Onglet Vérifier l’accèsCheck access tab Afficher les attributions de rôles d’un utilisateurView the role assignments for a single user
44 Onglet Attributions de rôlesRole assignments tab Afficher les attributions de rôles au niveau de l’étendue actuelleView the role assignments at the current scope
5.5 Onglet RôlesRoles tab Afficher l’ensemble des rôles et autorisationsView all roles and permissions

Pour utiliser le panneau Contrôle d’accès (IAM) avec une efficacité optimale, il est utile de pouvoir répondre aux trois questions suivantes lorsque vous essayez de gérer les accès :To be the most effective with the Access control (IAM) blade, it helps if you can answer the following three questions when you are trying to manage access:

  1. Qui a besoin d’accéder ?Who needs access?

    Qui fait référence à un utilisateur, à un groupe, à un principal de service ou à une identité gérée ?Who refers to a user, group, service principal, or managed identity. C’est également ce qu’on appelle un principal de sécurité.This is also called a security principal.

  2. Quelles sont les autorisations dont ils ont besoin ?What permissions do they need?

    Les autorisations sont regroupées dans des rôles.Permissions are grouped together into roles. Vous pouvez opérer une sélection dans une liste de plusieurs rôles intégrés.You can select from a list of several built-in roles.

  3. Où ont-ils besoin d’accéder ?Where do they need access?

    Where représente l’ensemble des ressources auxquelles l’accès s’applique.Where refers to the set of resources that the access applies to. Where peut être un groupe d’administration, un abonnement, un groupe de ressources ou une ressource unique telle qu’un compte de stockage.Where can be a management group, subscription, resource group, or a single resource such as a storage account. C’est ce qu’on appelle l’étendue.This is called the scope.

Ouvrir Contrôle d’accès (IAM)Open Access control (IAM)

La première chose que vous devez déterminer est l’emplacement où ouvrir le panneau Contrôle d’accès (IAM).The first thing you need to decide is where to open the Access control (IAM) blade. Cela dépend des ressources pour lesquelles vous souhaitez gérer l’accès.It depends on what resources you want to manage access for. Vous souhaitez gérer l’accès pour tous les éléments d’un groupe d’administration, tous les éléments d’un abonnement, tous les éléments d’un groupe de ressources ou une ressource unique ?Do you want to manage access for everything in a management group, everything in a subscription, everything in a resource group, or a single resource?

  1. Dans le portail Azure, cliquez sur Tous les services, puis sélectionnez l’étendue.In the Azure portal, click All services and then select the scope. Par exemple, vous pouvez sélectionner Groupes d’administration, Abonnements, Groupes de ressources, ou une ressource.For example, you can select Management groups, Subscriptions, Resource groups, or a resource.

  2. Cliquez sur la ressource spécifique.Click the specific resource.

  3. Cliquez sur Contrôle d’accès (IAM) .Click Access control (IAM).

    Voici un exemple de panneau Contrôle d'accès (IAM) pour un abonnement.The following shows an example of the Access control (IAM) blade for a subscription. Si vous modifiez le contrôle d’accès ici, cette modification s’applique à l’abonnement tout entier.If you make any access control changes here, they would apply to the entire subscription.

    Panneau Contrôle d’accès (IAM) pour un abonnement

Afficher les rôles et les autorisationsView roles and permissions

Une définition de rôle est une collection d’autorisations que vous utilisez pour les attributions de rôle.A role definition is a collection of permissions that you use for role assignments. Azure propose plus de 70 rôles intégrés pour les ressources Azure.Azure has over 70 built-in roles for Azure resources. Suivez ces étapes pour afficher les rôles et autorisations disponibles.Follow these steps to view the available roles and permissions.

  1. Ouvrez le contrôle d’accès (IAM) à une étendue quelconque.Open Access control (IAM) at any scope.

  2. Cliquez sur l’onglet Rôles pour afficher une liste de tous les rôles intégrés et personnalisés.Click the Roles tab to see a list of all the built-in and custom roles.

    Vous pouvez voir le nombre d’utilisateurs et de groupes affectés à chaque rôle dans cette étendue.You can see the number of users and groups that are assigned to each role at the current scope.

    Liste de rôles

  3. Cliquez sur un rôle individuel pour voir à qui ce rôle a été attribué et pour afficher les autorisations du rôle.Click an individual role to see who has been assigned this role and also view the permissions for the role.

    Attributions de rôles

Voir les attributions de rôlesView role assignments

Lorsque vous gérez des accès, vous souhaitez savoir quelles sont les personnes ayant accès, quelles sont leur autorisations et quelle esst leur étendue.When managing access, you want to know who has access, what are their permissions, and at what scope. Pour afficher l’accès d’un utilisateur, d’un groupe, d’un principal de service ou d’une identité gérée, vous affichez leurs attributions de rôles.To list access for a user, group, service principal, or managed identity, you view their role assignments.

Afficher les attributions de rôles d’un utilisateurView role assignments for a single user

Suivez ces étapes pour afficher l’accès d’un utilisateur, groupe, principal de service ou d’une identité gérée avec une étendue spécifique.Follow these steps to view the access for a single user, group, service principal, or managed identity at a particular scope.

  1. Ouvrez Contrôle d’accès (IAM) dans une étendue, par exemple un groupe d’administration, un abonnement, un groupe de ressources ou une ressource pour lesquels vous souhaitez afficher l’accès.Open Access control (IAM) at a scope, such as management group, subscription, resource group, or resource, where you want to view access.

  2. Cliquez sur l’onglet Vérifier l’accès.Click the Check access tab.

    Contrôle d’accès - onglet Vérifier l’accès

  3. Dans la liste Rechercher, sélectionnez le type principal de sécurité dont vous souhaitez contrôler l’accès.In the Find list, select the type of security principal you want to check access for.

  4. Dans la zone de recherche, entrez une chaîne afin de rechercher, dans le répertoire, des noms d’affichage, des adresses e-mail ou des identificateurs d’objet.In the search box, enter a string to search the directory for display names, email addresses, or object identifiers.

    Liste de sélection Vérifier l’accès

  5. Cliquez sur le principal de sécurité pour ouvrir le volet Affectations.Click the security principal to open the assignments pane.

    Volet Affectations

    Dans ce volet, vous pouvez voir les rôles attribués au principal de sécurité sélectionné et la portée.On this pane, you can see the roles assigned to the selected security principal and the scope. S’il existe des affectations de refus dans cette étendue ou transmises à cette étendue, elles sont répertoriées.If there are any deny assignments at this scope or inherited to this scope, they will be listed.

Afficher toutes les attributions de rôle dans une étendueView all role assignments at a scope

  1. Ouvrez Contrôle d’accès (IAM) dans une étendue, par exemple un groupe d’administration, un abonnement, un groupe de ressources ou une ressource pour lesquels vous souhaitez afficher l’accès.Open Access control (IAM) at a scope, such as management group, subscription, resource group, or resource, where you want to view access.

  2. Cliquez sur l’onglet Attributions de rôles afin d’afficher toutes les attributions de rôles pour cette étendue.Click the Role assignments tab to view all the role assignments at this scope.

    Contrôle d’accès - Onglet Attributions de rôles

    L’onglet Attributions de rôles indique les personnes qui ont accès à cette étendue.On the Role assignments tab, you can see who has access at this scope. Notez que certains rôles sont inclus dans l’étendue de cette ressource, tandis que d’autres sont hérités à partir d’une autre étendue.Notice that some roles are scoped to This resource while others are (Inherited) from another scope. L’accès est attribué spécifiquement à cette ressource ou hérité d’une affectation à l’étendue parente.Access is either assigned specifically to this resource or inherited from an assignment to the parent scope.

Ajouter une attribution de rôleAdd a role assignment

Dans RBAC, pour accorder l’accès, vous affectez un rôle à un utilisateur, un groupe, un principal de service ou une identité gérée.In RBAC, to grant access, you assign a role to a user, group, service principal, or managed identity. Suivez ces étapes pour accorder l’accès à différentes étendues.Follow these steps to grant access at different scopes.

Affecter un rôle dans une étendueAssign a role at a scope

  1. Ouvrez Contrôle d’accès (IAM) dans une étendue, par exemple un groupe d’administration, un abonnement, un groupe de ressources ou une ressource auxquels vous souhaitez donner l’accès.Open Access control (IAM) at a scope, such as management group, subscription, resource group, or resource, where you want to grant access.

  2. Cliquez sur l’onglet Attributions de rôles afin d’afficher toutes les attributions de rôles pour cette étendue.Click the Role assignments tab to view all the role assignments at this scope.

  3. Cliquez sur Ajouter > Ajouter une attribution de rôle pour ouvrir le volet Ajouter une attribution de rôle.Click Add > Add role assignment to open the Add role assignment pane.

    Si vous n’avez pas les autorisations pour attribuer des rôles, l’option Ajouter une attribution de rôle sera désactivée.If you don't have permissions to assign roles, the Add role assignment option will be disabled.

    Ajoutez un menu

    Volet Ajouter une attribution de rôle

  4. Dans la liste déroulante Rôle, sélectionnez un rôle, tel que Contributeur de machines virtuelles.In the Role drop-down list, select a role such as Virtual Machine Contributor.

  5. Dans la liste Sélectionner, sélectionnez un utilisateur, un groupe, un principal de service ou une identité gérée.In the Select list, select a user, group, service principal, or managed identity. Si vous ne voyez pas le principal de sécurité dans la liste, vous pouvez saisir du texte dans la zone Sélectionner pour rechercher des noms d’affichage, des adresses de messagerie et des identificateurs d’objet dans le répertoire.If you don't see the security principal in the list, you can type in the Select box to search the directory for display names, email addresses, and object identifiers.

  6. Cliquez sur Enregistrer pour attribuer le rôle.Click Save to assign the role.

    Après quelques instants, le principal de sécurité est attribué au rôle dans l’étendue sélectionnée.After a few moments, the security principal is assigned the role at the selected scope.

Attribuer à un utilisateur en tant qu’administrateur d’un abonnementAssign a user as an administrator of a subscription

Pour faire d’un utilisateur un administrateur d’un abonnement Azure, attribuez-lui le rôle Propriétaire au niveau de l’abonnement.To make a user an administrator of an Azure subscription, assign them the Owner role at the subscription scope. Le rôle Propriétaire donne à l’utilisateur un accès total à toutes les ressources de l’abonnement, ainsi que le droit de déléguer l’accès à d’autres personnes.The Owner role gives the user full access to all resources in the subscription, including the right to delegate access to others. Ces étapes sont les mêmes que celles de n’importe quelle autre attribution de rôle.These steps are the same as any other role assignment.

  1. Dans le portail Azure, cliquez sur Tous les services, puis sur Abonnements.In the Azure portal, click All services and then Subscriptions.

  2. Cliquez sur l’abonnement pour lequel vous souhaitez accorder l’accès.Click the subscription where you want to grant access.

  3. Cliquez sur Contrôle d’accès (IAM) .Click Access control (IAM).

  4. Cliquez sur l’onglet Attributions de rôles afin d’afficher toutes les attributions de rôles pour cet abonnement.Click the Role assignments tab to view all the role assignments for this subscription.

  5. Cliquez sur Ajouter > Ajouter une attribution de rôle pour ouvrir le volet Ajouter une attribution de rôle.Click Add > Add role assignment to open the Add role assignment pane.

    Si vous n’avez pas les autorisations pour attribuer des rôles, l’option Ajouter une attribution de rôle sera désactivée.If you don't have permissions to assign roles, the Add role assignment option will be disabled.

    Ajoutez un menu

    Volet Ajouter une attribution de rôle

  6. Dans la liste déroulante Rôle, sélectionnez le rôle Propriétaire.In the Role drop-down list, select the Owner role.

  7. Dans la liste Sélectionner, sélectionnez un utilisateur.In the Select list, select a user. Si vous ne voyez pas l’utilisateur dans la liste, vous pouvez taper dans la zone Sélectionner pour rechercher des noms d’affichage et des adresses e-mail dans l’annuaire.If you don't see the user in the list, you can type in the Select box to search the directory for display names and email addresses.

  8. Cliquez sur Enregistrer pour attribuer le rôle.Click Save to assign the role.

    Après quelques instants, le rôle Propriétaire est attribué à l’utilisateur au niveau de l’abonnement.After a few moments, the user is assigned the Owner role at the subscription scope.

Supprimer les attributions de rôlesRemove role assignments

Dans le RBAC, vous supprimez une attribution de rôle pour supprimer un accès.In RBAC, to remove access, you remove a role assignment. Suivez ces étapes pour supprimer l’accès.Follow these steps to remove access.

  1. Ouvrez Contrôle d’accès (IAM) dans une étendue, par exemple un groupe d’administration, un abonnement, un groupe de ressources ou une ressource pour lesquels vous souhaitez supprimer l’accès.Open Access control (IAM) at a scope, such as management group, subscription, resource group, or resource, where you want to remove access.

  2. Cliquez sur l’onglet Attributions de rôles afin d’afficher toutes les attributions de rôles pour cet abonnement.Click the Role assignments tab to view all the role assignments for this subscription.

  3. Dans la liste des attributions de rôle, ajoutez une coche à côté du principal de sécurité comportant l’attribution de rôle que vous souhaitez supprimer.In the list of role assignments, add a checkmark next to the security principal with the role assignment you want to remove.

    Supprimer le message d’attribution de rôle

  4. Cliquez sur Supprimer.Click Remove.

    Supprimer le message d’attribution de rôle

  5. Dans le message d’attribution de rôle qui s’affiche, cliquez sur Oui.In the remove role assignment message that appears, click Yes.

    Les attributions de rôle héritées ne peuvent pas être supprimées.Inherited role assignments cannot be removed. Si vous avez besoin de supprimer une attribution de rôle héritée, vous devez le faire au niveau de l’étendue où l’affectation de rôle a été créée.If you need to remove an inherited role assignment, you must do it at the scope where the role assignment was created. Dans la colonne Étendue, en regard de Hérité, un lien vous dirige vers l’étendue à laquelle ce rôle a été affecté.In the Scope column, next to (Inherited) there is a link that takes you to the scope where this role was assigned. Accédez à l’étendue répertoriée ici pour supprimer l’attribution de rôle.Go to the scope listed there to remove the role assignment.

    Supprimer le message d’attribution de rôle

Étapes suivantesNext steps