Gérer l’accès aux ressources dans Azure Stack Hub avec le contrôle d’accès en fonction du rôle

Azure Stack Hub prend en charge le contrôle d’accès en fonction du rôle (RBAC), le même modèle de sécurité pour la gestion des accès que Microsoft Azure utilise. Vous pouvez utiliser RBAC pour gérer l’accès des utilisateurs, des groupes ou des applications aux abonnements, aux ressources et aux services.

Notions de base de la gestion des accès

Le contrôle d’accès en fonction du rôle (RBAC) fournit un contrôle d’accès affiné que vous pouvez utiliser pour sécuriser votre environnement. Vous accordez aux utilisateurs les autorisations exactes dont ils ont besoin en attribuant un rôle RBAC à une certaine étendue. L’étendue de l’attribution de rôle peut être un abonnement, un groupe de ressources ou une seule ressource. Pour plus d’informations sur la gestion des accès, consultez l’article Role-Based Contrôle d’accès dans l’article du portail Azure .

Rôles intégrés

Azure Stack Hub a trois rôles de base que vous pouvez appliquer à tous les types de ressources :

• Propriétaire : accorde un accès complet pour gérer toutes les ressources, notamment la possibilité d’attribuer des rôles dans Azure Stack RBAC.
• Contributeur : accorde un accès complet pour gérer toutes les ressources, mais ne vous permet pas d’attribuer des rôles dans Azure Stack RBAC.
• Lecteur : peut tout afficher, mais ne peut pas apporter de modifications.

Hiérarchie des ressources et héritage

Azure Stack Hub a la hiérarchie de ressources suivante :

• Chaque abonnement appartient à un répertoire.
• Chaque groupe de ressources appartient à un abonnement.
• Chaque ressource appartient à un groupe de ressources.

L’accès que vous accordez à une étendue parente est hérité aux étendues enfants. Par exemple:

• Vous attribuez le rôle Lecteur à un groupe Microsoft Entra dans l’étendue de l’abonnement. Les membres de ce groupe peuvent afficher chaque groupe de ressources et chaque ressource dans l’abonnement.
• Vous attribuez le rôle Contributeur à une application dans l’étendue du groupe de ressources. L’application peut gérer les ressources de tous les types de ce groupe de ressources, mais pas d’autres groupes de ressources dans l’abonnement.

Attribution de rôles

Vous pouvez affecter plusieurs rôles à un utilisateur et chaque rôle peut être associé à une étendue différente. Par exemple:

• Vous affectez TestUser-A rôle Lecteur à Subscription-1.
• Vous affectez TestUser-A rôle Propriétaire à TestVM-1.

L’article sur les attributions de rôles Azure fournit des informations détaillées sur l’affichage, l’attribution et la suppression des rôles.

Définir des autorisations d’accès pour un utilisateur

Les étapes suivantes décrivent comment configurer des autorisations pour un utilisateur.

1. Connectez-vous avec un compte disposant des autorisations de propriétaire sur la ressource que vous souhaitez gérer.

2. Dans le volet de navigation gauche, choisissez Groupes de ressources.

3. Choisissez le nom du groupe de ressources sur lequel vous souhaitez définir des autorisations.

4. Dans le volet de navigation du groupe de ressources, choisissez Contrôle d’accès (IAM) .
   L’affichage Attributions de rôles répertorie les éléments qui ont accès au groupe de ressources. Vous pouvez filtrer et regrouper les résultats.

5. Dans la barre de menus du contrôle d’accès , choisissez Ajouter.

6. Dans le volet Ajouter des autorisations :

   • Choisissez le rôle que vous souhaitez attribuer dans la liste déroulante Rôle .
   • Choisissez la ressource que vous souhaitez affecter à partir de la liste déroulante Attribuer l’accès.
   • Sélectionnez l’utilisateur, le groupe ou l’application dans votre annuaire auquel vous souhaitez accorder l’accès. Vous pouvez effectuer une recherche dans le répertoire avec des noms d’affichage, des adresses e-mail et des identificateurs d’objet.

7. Cliquez sur Enregistrer.

Étapes suivantes

Créer des principaux de service