Décrire le contrôle d’accès en fonction du rôle Azure

  • 5 minutes

Si vous avez plusieurs équipes d’informaticiens et d’ingénieurs, comment pouvez-vous contrôler l’accès qu’elles ont aux ressources de votre environnement cloud ? Le principe du privilège minimum stipule que vous ne devez accorder l’accès qu’au niveau nécessaire pour effectuer une tâche. Si vous avez uniquement besoin d’un accès en lecture à un objet blob de stockage, vous devez disposer uniquement d’un accès en lecture à cet objet blob de stockage. L’accès en écriture à cet objet blob ne doit pas être accordé, ni l’accès en lecture à d’autres objets blob de stockage. Il s’agit d’une bonne pratique de sécurité à suivre.

Toutefois, la gestion de ce niveau d’autorisations pour toute une équipe pourrait devenir fastidieuse. Au lieu de définir les besoins d’accès particuliers de chaque personne, puis de les mettre à jour quand des ressources sont créées ou que de nouvelles personnes rejoignent l’équipe, Azure vous permet de contrôler l’accès par le biais du contrôle d’accès en fonction du rôle Azure (RBAC Azure).

Azure propose des rôles intégrés qui décrivent les règles d’accès courantes des ressources cloud. Vous pouvez également définir vos propres rôles. Chaque rôle a un ensemble d’autorisations d’accès associé qui lui sont propres. Quand vous attribuez un ou plusieurs rôles à des personnes ou des groupes, ils reçoivent tous les autorisations d’accès associées.

Ainsi, si vous embauchez un nouvel ingénieur et que vous l’ajoutez au groupe RBAC Azure des ingénieurs, il obtient automatiquement le même accès que les autres ingénieurs du même groupe RBAC Azure. De même, Si vous ajoutez des ressources supplémentaires et pointez Azure RBAC dessus, tout le monde dans ce groupe Azure RBAC aura désormais ces autorisations sur les nouvelles ressources ainsi que sur les ressources existantes.

Comment le contrôle d’accès en fonction du rôle est-il appliqué aux ressources ?

Le contrôle d’accès en fonction du rôle s’applique à une étendue, à savoir une ressource ou un ensemble de ressources à laquelle ou auquel cet accès s’applique.

Le diagramme suivant montre la relation entre les rôles et les étendues. Un groupe d’administration, un abonnement ou un groupe de ressources peut se voir attribuer le rôle de propriétaire, de sorte qu’il dispose d’un contrôle et d’une autorité accrus. Un observateur, qui n’est pas censé effectuer de mises à jour, peut se voir attribuer un rôle de lecteur pour la même étendue, ce qui lui permet de passer en revue ou d’observer le groupe d’administration, l’abonnement ou le groupe de ressources.

A diagram showing scopes and roles. Role and scope combinations map to a specific kind of user or account, such as an observer or an admin.

Les étendues incluent :

  • Un groupe d’administration (collection de plusieurs abonnements).
  • Un seul abonnement.
  • Un groupe de ressources.
  • Une ressource unique.

Les observateurs, les utilisateurs gérant des ressources, les administrateurs et les processus automatisés illustrent les genres d’utilisateurs ou de comptes généralement attribués à chacun des différents rôles.

RBAC Azure est hiérarchique en ce sens que quand vous accordez l’accès à une étendue parente, ces autorisations sont héritées par toutes les étendues enfants. Par exemple :

  • Quand vous attribuez le rôle Propriétaire à un utilisateur au niveau de l’étendue du groupe d’administration, cet utilisateur peut gérer tout le contenu de tous les abonnements au sein du groupe d’administration.
  • Quand vous attribuez le rôle Lecteur à un groupe au niveau de l’étendue de l’abonnement, les membres de ce groupe peuvent voir tous les groupes de ressources et toutes les ressources au sein de l’abonnement.

Comment RBAC Azure est-il appliqué ?

Azure RBAC est appliqué sur toute action initiée contre une ressource Azure qui passe par Azure Resource Manager. Resource Manager est un service de gestion qui propose un moyen d’organiser et de sécuriser vos ressources cloud.

Pour accéder à Resource Manager, vous utilisez généralement le portail Azure, Azure Cloud Shell, Azure PowerShell et Azure CLI. Un RBAC Azure n’applique pas d’autorisations d’accès au niveau de l’application ou des données. La sécurité de l’application doit être gérée par votre application.

RBAC Azure utilise un modèle d’autorisation. Quand vous disposez d’un rôle, RBAC Azure vous permet d’effectuer des actions dans l’étendue de ce rôle. Si une affectation de rôle vous accorde des autorisations de lecture sur un groupe de ressources et qu’une autre affectation de rôle vous accorde des autorisations d’écriture sur le même groupe de ressources, vous avez à la fois des autorisations de lecture et d’écriture sur ce groupe de ressources.