Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Le contrôle d’accès en fonction du rôle (RBAC) Azure définit qui peut accéder aux ressources Azure, quelles actions ils peuvent effectuer et où ils peuvent les effectuer. Cette structure améliore la gouvernance, la sécurité et la clarté opérationnelle dans votre environnement cloud.
Prérequis :Créer un compte Azure. Les start-ups voient si vous êtes éligible aux crédits Azure.
Appliquer le privilège minimum à toutes les attributions d’accès
Le principe du privilège minimum garantit que les utilisateurs reçoivent uniquement les autorisations requises pour effectuer leurs tâches. Cette approche réduit les risques et améliore l’auditabilité.
Commencez par des rôles intégrés. Azure RBAC a des rôles intégrés avec des autorisations qui s’alignent sur des scénarios courants. Commencez par les rôles intégrés et créez uniquement des rôles personnalisés si nécessaire. Commencez par les rôles de fonction de travail et utilisez uniquement des rôles d’administrateur privilégié (Propriétaire, Contributeur, Lecteur, Administrateur de contrôle d’accès en fonction du rôle et Administrateur de l’accès utilisateur) lorsque les rôles de fonction de travail ne sont pas suffisants.
Attribuez des rôles avec des autorisations minimales. Chaque rôle inclut un ensemble d’autorisations définies dans sa définition de rôle. Sélectionnez des rôles qui accordent uniquement les autorisations nécessaires pour les responsabilités de l’utilisateur. Évitez de surprovisionner l’accès.
Attribuez des rôles au niveau de l’étendue la plus étroite possible. L’étendue du rôle détermine l’emplacement où les autorisations s’appliquent. Attribuez des rôles au niveau de l’étendue nécessaire pour effectuer des tâches essentielles.
Étendue du rôle Descriptif Groupe d’administration Les autorisations de rôle s’appliquent à tous les abonnements et ressources au sein du groupe d’administration. Subscription Les autorisations de rôle s’appliquent à tous les groupes de ressources et ressources au sein de l’abonnement. groupe de ressources Les autorisations de rôle s’appliquent à toutes les ressources de ce groupe de ressources. Resource Les autorisations de rôle s’appliquent uniquement à la ressource spécifique (par exemple, une instance Foundry).
Pour obtenir des instructions détaillées, consultez Appliquer des rôles RBAC Azure.
Utiliser des groupes pour gérer l’accès aux ressources
Au lieu d’attribuer des rôles à des utilisateurs individuels, affectez-les à des groupes d’ID Microsoft Entra. Cette structure améliore la scalabilité, l’auditabilité et la gouvernance en centralisant les attributions de rôles.
Créez des groupes de sécurité en fonction de l’étendue d’accès. Définissez des groupes de sécurité qui reflètent l’étendue de l’accès, par exemple au niveau de la ressource, du groupe de ressources ou de l’abonnement. Par exemple, créez des groupes distincts pour les environnements de développement, de test et de production, tels que AI-Developer-Dev, AI-Developer-Test, AI-Developer-Prod. Cette structure applique l’isolation minimale des privilèges et de l’environnement. Pour connaître les étapes de création d’un groupe de sécurité, consultez Gérer les groupes d’ID Microsoft Entra.
Attribuez des rôles à des groupes au niveau de l’étendue la plus basse nécessaire. Appliquez le principe du privilège minimum lors de l’attribution de rôles à des groupes. Évitez d’attribuer des rôles à des étendues plus élevées, sauf si nécessaire. Cette approche réduit les risques et simplifie les audits.
Affinez la structure de groupe à mesure que votre environnement évolue. Ajustez les définitions de groupe pour refléter les modifications apportées aux charges de travail, aux équipes ou aux responsabilités. Cette affinement garantit une clarté et un contrôle continus de l’accès. Par exemple:
Rôle d’entreprise Besoin métier Nom du groupe Rôle RBAC Azure Étendue des autorisations Propriétaires d’abonnements Gérer le contrôle d’accès, la gouvernance et la facturation dans l’abonnement Subscription-Owners Propriétaire Niveau d’abonnement Développeurs d’IA Créer et déployer des modèles dans Foundry IA -Foundry-Dev Collaborateur Niveau du groupe de ressources Finances Passer en revue les rapports de facturation, d’utilisation et de coût Finance-Readers Lecteur Niveau d’abonnement Limitez les attributions de rôles Propriétaire. Le rôle Propriétaire accorde un accès complet pour gérer toutes les ressources et attribuer des rôles dans Azure RBAC. Limitez ce rôle à trois utilisateurs ou moins par abonnement. Examinez et ajustez l’attribution de propriétaire par défaut pour les créateurs d’abonnements en fonction des besoins.
Examiner régulièrement l’accès
Les révisions d’accès garantissent que les autorisations restent appropriées lorsque les utilisateurs modifient les rôles ou les projets se terminent.
Planifiez des révisions d’accès mensuelles ou trimestrielles. Passez en revue les rôles d’ID Microsoft Entra et les affectations RBAC Azure. Supprimez rapidement les rôles inutiles pour maintenir la sécurité.
Utilisez des outils automatisés pour simplifier les révisions. Utilisez des outils tels que Access Review (Microsoft Entra ID Premium P2) ou exportez des attributions de rôles pour des vérifications manuelles. Traitez la gouvernance des accès comme une maintenance continue.