Sécuriser les ressources avec le contrôle d’accès en fonction du rôle

L’implémentation d’Azure Policy garantit que tous nos employés ayant un accès Azure respectent nos normes internes pour la création de ressources, mais nous avons un deuxième problème à résoudre : comment protéger ces ressources une fois qu’elles sont déployées ? Le personnel informatique doit gérer les paramètres, les développeurs ont besoin d’un accès en lecture seule et les administrateurs doivent pouvoir les contrôler complètement. Utilisez le contrôle d’accès en fonction du rôle (RBAC).

Le contrôle RBAC propose une gestion affinée des accès des ressources dans Azure, ce qui vous permet d’accorder aux utilisateurs les droits spécifiques dont ils ont besoin pour accomplir leur travail. Le contrôle RBAC est considéré comme un service principal et est inclus gratuitement dans tous les niveaux d’abonnement.

À l’aide du contrôle RBAC, vous pouvez :

  • Permettre à un utilisateur de gérer les machines virtuelles d’un abonnement et à un autre de gérer les réseaux virtuels.
  • Permettre à un groupe d’administrateurs de base de données de gérer les bases de données SQL d’un abonnement.
  • Permettre à un utilisateur de gérer toutes les ressources d’un groupe de ressources (machines virtuelles, sites web et sous-réseaux virtuels).
  • Permettre à une application d’accéder à toutes les ressources d’un groupe de ressources.

Pour afficher les autorisations d’accès, utilisez le panneau Contrôle d’accès (IAM) pour la ressource dans le portail Azure. Dans ce panneau, vous pouvez voir qui peut accéder à une zone et le rôle qui lui est attribué. Dans ce même panneau, vous pouvez aussi accorder ou supprimer des accès.

Capture d’écran du volet Contrôle d’accès - Attribution de rôles dans le portail Azure montrant les rôles d’opérateur de sauvegarde et de lecteur de facturation attribués à différents utilisateurs.

Dans la capture d’écran ci-dessus, Alain Charon s’est vu attribuer le rôle Opérateur de sauvegarde pour ce groupe de ressources.

Définition de l’accès par le contrôle RBAC

Le contrôle RBAC utilise un modèle d’autorisation pour l’accès. Quand un rôle vous est attribué, le contrôle RBAC vous permet d’effectuer certaines actions comme la lecture, l’écriture ou la suppression. Par conséquent, si une attribution de rôle vous accorde des autorisations de lecture sur un groupe de ressources et qu’une autre attribution de rôle vous accorde des autorisations d’écriture sur le même groupe de ressources, vous avez des autorisations de lecture et d’écriture sur ce groupe de ressources.

Bonnes pratiques pour le contrôle RBAC

Voici quelques bonnes pratiques que vous devez utiliser lors de la configuration des ressources.

  • Séparez les tâches au sein de votre équipe et accordez aux utilisateurs uniquement les accès nécessaires pour accomplir leur travail. Plutôt que de donner à tous des autorisations illimitées au sein de votre abonnement ou de vos ressources Azure, autorisez uniquement certaines actions sur une étendue donnée.
  • Quand vous planifiez votre stratégie de contrôle d’accès, accordez aux utilisateurs le niveau de privilège minimal nécessaire pour effectuer leur travail.
  • Utilisez Verrous de ressources pour garantir que des ressources critiques ne sont pas modifiées ni supprimées (comme vous le verrez dans la prochaine unité).