Tutoriel : Créer un environnement à partir d’un exemple de blueprint

Les exemples de blueprints fournissent des exemples de ce qui peut être fait à l’aide d’Azure Blueprints. Chacun d’eux est un exemple avec une intention ou un objectif spécifique, mais ne crée pas d’environnement complet par eux-mêmes. Chacun d’eux est destiné à commencer à explorer l’utilisation d’Azure Blueprints avec différentes combinaisons d’artefacts, de conceptions et de paramètres inclus.

Le tutoriel suivant utilise les groupes de ressources avec l’exemple de blueprint RBAC pour présenter différents aspects du service Azure Blueprints. Les étapes suivantes sont abordées :

Prerequisites

Pour suivre ce didacticiel, un abonnement Azure est nécessaire. Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

Créer une définition de blueprint à partir d’un exemple

Tout d'abord, implémentez l'exemple de schéma. L’importation crée un nouveau modèle dans votre environnement en fonction de l’exemple.

1. Sélectionnez Tous les services dans le volet gauche. Recherchez et sélectionnez Blueprints.

2. Dans la page Bien démarrer à gauche, sélectionnez le bouton Créer sous Créer un blueprint.

3. Recherchez l’exemple de blueprint Groupes de ressources avec RBAC sous Autres exemples et sélectionnez-le.

4. Entrez les principes de base de l’exemple de blueprint :

   • Nom du blueprint : indiquez un nom pour votre copie de l’exemple de blueprint. Pour ce tutoriel, nous allons utiliser le nom two-rgs-with-role-assignments.
   • Emplacement de définition : utilisez le bouton de points de suspension et sélectionnez le groupe d’administration ou l’abonnement dans lequel enregistrer votre copie de l’exemple.

5. Sélectionnez l’onglet Artefacts en haut de la page ou Suivant : Artefacts en bas de la page.

6. Passez en revue la liste des artefacts qui composent l’exemple de blueprint. Cet exemple définit deux groupes de ressources, avec des noms d’affichage de ProdRG et PreProdRG. Le nom final et l’emplacement de chaque groupe de ressources sont définis pendant l’affectation du blueprint. Le groupe de ressources ProdRG est affecté au rôle Contributeur et le groupe de ressources PreProdRG reçoit les rôles Propriétaire et Lecteurs . Les rôles attribués dans la définition sont statiques, mais l’utilisateur, l’application ou le groupe affecté au rôle est défini pendant l’affectation du blueprint.

7. Sélectionnez Enregistrer le brouillon lorsque vous avez terminé d’examiner l’exemple de blueprint.

Cette étape crée une copie de l’exemple de définition de blueprint dans le groupe d’administration ou l’abonnement sélectionné. La définition de blueprint enregistrée est gérée comme n’importe quel blueprint créé à partir de zéro. Vous pouvez enregistrer l’exemple dans votre groupe d’administration ou votre abonnement autant de fois que nécessaire. Toutefois, chaque copie doit être fournie sous un nom unique.

Une fois que la notification Enregistrement de la définition du blueprint réussi apparaît sur le portail, passez à l'étape suivante.

Mettre en ligne l’exemple de version

Votre copie de l’exemple de blueprint a maintenant été créée dans votre environnement. Il est créé en mode Brouillon et doit être publié avant de pouvoir être affecté et déployé. La copie de l'exemple de blueprint peut être personnalisée pour votre environnement et vos besoins. Pour ce tutoriel, nous n’apporterons aucune modification.

1. Sélectionnez Tous les services dans le volet gauche. Recherchez et sélectionnez Blueprints.

2. Sélectionnez la page des définitions de blueprint sur la gauche. Utilisez les filtres pour rechercher la définition de blueprint two-rgs-with-role-assignments, puis sélectionnez-la .

3. Sélectionnez Publier le blueprint en haut de la page. Dans le nouveau volet à droite, fournissez la version1.0 pour votre copie de l’exemple de blueprint. Cette propriété est utile si vous apportez une modification ultérieurement. Fournissez des notes de modification telles que « Première version publiée à partir des groupes de ressources avec l’exemple de blueprint RBAC ». Sélectionnez Ensuite Publier en bas de la page.

Cette étape permet d’affecter le blueprint à un abonnement. Une fois publiées, les modifications peuvent toujours être apportées. Des modifications supplémentaires nécessitent la publication avec une nouvelle valeur de version pour suivre les différences entre différentes versions de la même définition de blueprint.

Une fois que la notification du portail indiquant que la définition du modèle de publication est terminée apparaît, passez à l’étape suivante.

Affecter la copie de l’exemple

Une fois que la copie de l’exemple de modèle a été correctement publiée, elle peut être affectée à un abonnement au sein du groupe de gestion dans lequel il a été enregistré. Cette étape consiste à fournir des paramètres pour rendre chaque déploiement de la copie de l’exemple de blueprint unique.

1. Sélectionnez Tous les services dans le volet gauche. Recherchez et sélectionnez Blueprints.

2. Sélectionnez la page des définitions de blueprint sur la gauche. Utilisez les filtres pour rechercher la définition de blueprint two-rgs-with-role-assignments, puis sélectionnez-la .

3. Sélectionnez Assigner un modèle en haut de la page de définition du modèle.

4. Fournissez les valeurs de paramètre pour l'affectation de modèle :

   • Basics

     • Abonnements : sélectionnez un ou plusieurs abonnements qui se trouvent dans le groupe d’administration dans lequel vous avez enregistré votre copie de l’exemple de blueprint. Si vous sélectionnez plusieurs abonnements, une affectation est créée pour chacune d’elles à l’aide des paramètres entrés.
     • Nom d’affectation : le nom est automatiquement renseigné en fonction du nom de la définition du blueprint.
     • Emplacement : sélectionnez une région dans laquelle l’identité managée doit être créée. Azure Blueprints utilise cette identité managée pour déployer tous les artefacts dans le blueprint affecté. Pour en savoir plus, consultez les identités managées pour les ressources Azure. Pour ce tutoriel, sélectionnez USA Est 2.
     • Version de la définition de plan : choisissez la version publiée1.0 de votre copie de l’exemple de définition de plan.

   • Attribution de verrouillage

     Sélectionnez le mode de verrouillage Read Only du blueprint. Pour plus d’informations, consultez le verrouillage des ressources de blueprints.

   • Identité managée

     Conservez l’option Assigné par le système par défaut. Pour plus d’informations, consultez identités managées.

   • Paramètres d’artefact

     Les paramètres définis dans cette section s’appliquent à l’artefact sous lequel il est défini. Ces paramètres sont des paramètres dynamiques , car ils sont définis pendant l’affectation du blueprint. Pour chaque artefact, définissez la valeur du paramètre sur ce qui est défini dans la colonne Valeur . Pour {Your ID}, sélectionnez votre compte d’utilisateur Azure.

     Nom de l’artefact	Type d’artefact	Nom du paramètre	Valeur	Descriptif
     Groupe de ressources ProdRG	groupe de ressources	Nom	ProductionRG	Définit le nom du premier groupe de ressources.
     Groupe de ressources ProdRG	groupe de ressources	Emplacement	Ouest des États-Unis 2	Définit l’emplacement du premier groupe de ressources.
     Collaborateur	Attribution de rôle	Utilisateur ou groupe	{Votre ID}	Définit l’utilisateur ou le groupe auquel attribuer le rôle Contributeur dans le premier groupe de ressources.
     Groupe de ressources PreProdRG	groupe de ressources	Nom	PreProductionRG	Définit le nom du deuxième groupe de ressources.
     Groupe de ressources PreProdRG	groupe de ressources	Emplacement	West US	Définit l’emplacement du deuxième groupe de ressources.
     Propriétaire	Attribution de rôle	Utilisateur ou groupe	{Votre ID}	Définit l’attribution du rôle de Propriétaire à un utilisateur ou un groupe au sein du deuxième groupe de ressources.
     Lecteurs	Attribution de rôle	Utilisateur ou groupe	{Votre ID}	Définit l’utilisateur ou le groupe auquel attribuer le rôle Lecteurs dans le deuxième groupe de ressources.

5. Une fois tous les paramètres entrés, sélectionnez Affecter en bas de la page.

Cette étape déploie les ressources définies et configure l’affectation de verrou sélectionnée. L’application des verrous de blueprint peut prendre jusqu’à 30 minutes.

Une fois que la notification du portail indiquant que la définition du blueprint a été correctement assignée apparaît, passez à l’étape suivante.

Inspecter les ressources déployées par l’affectation

L’attribution de modèle crée et suit les artefacts définis dans la définition du modèle. Nous pouvons voir l’état des ressources à partir de la page d’affectation de blueprint et en examinant directement les ressources.

1. Sélectionnez Tous les services dans le volet gauche. Recherchez et sélectionnez Blueprints.

2. Sélectionnez la page Plans assignés à gauche. Utilisez les filtres pour trouver l’affectation du blueprint Assignment-two-rgs-with-role-assignments, puis sélectionnez celle-ci.

   Cette page répertorie l’affectation réussie, les ressources créées ainsi que l’état de verrouillage de blueprint qui leur est associé. Si l’affectation est mise à jour, la liste déroulante des opérations d’affectation affiche des détails sur le déploiement de chaque version de définition. Chaque ressource répertoriée qui a été créée peut être sélectionnée et ouvre cette page de propriétés de ressources.

3. Sélectionnez le groupe de ressources ProductionRG .

   Nous voyons que le nom du groupe de ressources est ProductionRG et non le nom d’affichage de l’artefact ProdRG. Ce nom correspond à la valeur définie pendant l’affectation du blueprint.

4. Sélectionnez la page Contrôle d’accès (IAM) sur la gauche, puis l’onglet Attributions de rôles .

   Ici, nous voyons que votre compte a reçu le rôle Contributeur sur l’étendue de cette ressource. L’affectation du blueprint Assignment-two-rgs-with-role-assignments possède le rôle Propriétaire, qui a été utilisé pour créer le groupe de ressources. Ces autorisations sont également utilisées pour gérer les ressources avec des verrous blueprint configurés.

5. Dans la barre de navigation du portail Azure, sélectionnez Assignment-two-rgs-with-role-assignments pour retourner à une page précédente, puis sélectionnez le groupe de ressources PreProductionRG.

6. Sélectionnez la page Contrôle d’accès (IAM) sur la gauche, puis l’onglet Attributions de rôles .

   Ici, nous voyons que votre compte a reçu les rôles Propriétaire et Lecteur , à la fois dans l’étendue de cette ressource. L’attribution de blueprint a également le rôle Propriétaire comme le premier groupe de ressources.

7. Sélectionnez l’onglet Refuser les affectations .

   L’affectation du blueprint a créé une instance Refuser l’affectation sur le groupe de ressources déployé pour appliquer le mode Lecture seule de verrouillage du blueprint. Cette affectation de refus empêche un utilisateur disposant de droits appropriés dans l’onglet Attributions de rôle d’effectuer des actions particulières. L’affectation de refus concerne Tous les principaux.

8. Sélectionnez l’assignation de refus, puis sélectionnez la page Autorisations refusées à gauche.

   L’attribution de refus empêche toutes les opérations avec * et la configuration Action, mais autorise l’accès en lecture en excluant */read via NotActions.

9. Dans la barre de navigation du portail Azure, sélectionnez PreProductionRG - Contrôle d’accès (IAM). Sélectionnez ensuite la page Vue d’ensemble à gauche, puis le bouton Supprimer le groupe de ressources . Entrez le nom PreProductionRG pour confirmer la suppression, puis sélectionnez Supprimer en bas du volet.

   La notification du portail Supprimer le groupe de ressources PreProductionRG a échoué s’affiche. L’erreur indique que, même si votre compte est autorisé à supprimer le groupe de ressources, l’accès est refusé par l’affectation du blueprint. N’oubliez pas que nous avons sélectionné le mode Lecture seule de verrouillage du blueprint pendant l’affectation du blueprint. Le verrou de blueprint empêche un compte disposant d’autorisations, même propriétaire, de supprimer la ressource. Pour plus d’informations, consultez le verrouillage des ressources de blueprints.

Ces étapes montrent que nos ressources ont été créées comme définies et que les verrous de blueprint ont empêché la suppression indésirable, même à partir d’un compte avec autorisation.

Annuler l’affectation du blueprint

La dernière étape consiste à supprimer l’affectation du blueprint et les ressources qu’il a déployées. La suppression de l’affectation ne supprime pas les artefacts déployés.

1. Sélectionnez Tous les services dans le volet gauche. Recherchez et sélectionnez Blueprints.

2. Sélectionnez la page Plans assignés à gauche. Utilisez les filtres pour trouver l’affectation du blueprint Assignment-two-rgs-with-role-assignments, puis sélectionnez celle-ci.

3. Sélectionnez le bouton Désaffecter le plan en haut de la page. Lisez l’avertissement dans la boîte de dialogue de confirmation, puis sélectionnez OK.

   La suppression du blueprint entraîne la suppression des verrous de celui-ci. Les ressources créées peuvent à nouveau être supprimées par un compte disposant d’autorisations.

4. Sélectionnez Groupes de ressources dans le menu Azure, puis sélectionnez ProductionRG.

5. Sélectionnez la page Contrôle d’accès (IAM) sur la gauche, puis l’onglet Attributions de rôles .

Du point de vue de la sécurité, les affectations de rôles restent déployées pour chaque groupe de ressources, mais l’affectation du blueprint n’a plus d’accès Propriétaire.

Dès que la notification Affectation de blueprint supprimée apparaît dans le portail, passez à l’étape suivante.

Nettoyer les ressources

Une fois ce didacticiel terminé, supprimez les ressources suivantes :

• Groupe de ressources ProductionRG
• Groupe de ressources PréProductionRG
• Définition de blueprint two-rgs-with-role-assignments

Étapes suivantes

Dans ce tutoriel, vous avez appris à créer un blueprint à partir d’un exemple de définition. Pour en savoir plus sur Azure Blueprints, passez à l’article sur le cycle de vie du blueprint.