Exemple de configuration RBAC pour plusieurs utilisateurs professionnels

  • Article

De nombreux clients Azure Sphere souhaitent configurer l’accès RBAC pour permettre aux équipes d’ingénierie d’effectuer des fonctions de développement sur des appareils appartenant à l’ingénierie et des groupes d’appareils, mais empêchent les équipes d’ingénierie d’accéder directement aux groupes d’appareils de production généralement gérés par une équipe des opérations. Le scénario suivant explique en détail comment configurer un ensemble de groupes d’utilisateurs et d’autorisations RBAC pour accorder à l’équipe d’ingénierie et à l’équipe d’exploitation un accès uniquement aux fonctionnalités et aux ressources dont ils ont besoin. Dans ce scénario, il existe 3 groupes d’utilisateurs professionnels différents avec les responsabilités de travail courantes suivantes :

  • Utilisateurs Administrateur Azure Sphere : le groupe d’utilisateurs Azure Sphere avec le privilège le plus élevé pour les utilisateurs qui doivent créer, configurer et gérer de nouveaux catalogues Azure Sphere et leurs ressources enfants, y compris la revendication d’appareils aux catalogues (association permanente des appareils revendiqués à ce catalogue uniquement) et l’intégration de locataires Azure Sphere (hérités) existants à des catalogues Azure Sphere (intégrés).
  • Utilisateurs de l’équipe produit : pour les utilisateurs qui ont besoin de privilèges pour les éléments appartenant à la ressource de catalogue elle-même, tels que les images et les certificats, mais qui ne doivent pas avoir de privilèges pour tous les groupes d’appareils appartenant au catalogue, tels que le groupe d’appareils de production potentiellement sensible. Ce groupe d’utilisateurs est particulièrement approprié pour les utilisateurs de développement de produits qui téléchargent des fichiers de capacité d’appareil, déplacent des appareils entre les groupes d’appareils Développement, Test sur le terrain et Évaluation du système d’exploitation de test sur le terrain, et qui déploient de nouveaux logiciels et collectent potentiellement des fichiers de vidage sur incident dans les groupes d’appareils Test sur le terrain et Évaluation du système d’exploitation sur le terrain, mais qui ne sont pas autorisés à gérer les appareils de production dans les groupes d’appareils Production et Évaluation du système d’exploitation de production.
  • Utilisateurs de l’équipe d’exploitation : pour les utilisateurs qui gèrent le parc d’appareils de production, qui ont besoin d’autorisations sur le groupe d’appareils de production où ils déploieront de nouvelles images de logiciels et de microprogrammes, activeront potentiellement la collecte de fichiers de vidage sur incident et vérifient que les versions d’évaluation du système d’exploitation fonctionnent comme prévu dans le groupe d’appareils Évaluation du système d’exploitation de production.

Exemple de configuration RBAC.

Avertissement

  • Les utilisateurs qui doivent intégrer des locataires Azure Sphere (hérités) à des catalogues Azure Sphere (intégrés) doivent avoir le rôle Contributeur Azure Sphere appliqué au groupe de ressources propriétaire de l’abonnement auquel appartient le locataire.

  • Bien qu’il soit possible d’attribuer un rôle RBAC à un utilisateur uniquement sur un produit ou un groupe d’appareils, mais pas sur son catalogue parent, l’utilisateur ne peut pas rechercher le produit ou le groupe d’appareils, ou son catalogue parent, à partir de son écran d’accueil Azure. Ils peuvent uniquement accéder au produit ou au groupe d’appareils via une URL qui pointe directement vers celui-ci. Par souci de commodité, nous recommandons à tous les utilisateurs d’avoir au moins un accès lecteur Azure Sphere au catalogue.