Utiliser le contrôle d’accès en fonction du rôle pour gérer les Machines Virtuelles Azure Stack HCI
S’applique à : Azure Stack HCI, version 23H2
Cet article explique comment utiliser le contrôle d’accès en fonction du rôle (RBAC) pour contrôler l’accès aux machines virtuelles Arc s’exécutant sur votre cluster Azure Stack HCI.
Vous pouvez utiliser les rôles RBAC intégrés pour contrôler l’accès aux machines virtuelles et aux ressources de machine virtuelle, telles que les disques virtuels, les interfaces réseau, les images de machine virtuelle, les réseaux logiques et les chemins de stockage. Vous pouvez attribuer ces rôles aux utilisateurs, groupes, principaux de service et identités managées.
Important
Cette fonctionnalité est actuellement en PRÉVERSION. Pour connaître les conditions juridiques qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou plus généralement non encore en disponibilité générale, consultez l’Avenant aux conditions d’utilisation des préversions de Microsoft Azure.
À propos des rôles RBAC intégrés
Pour contrôler l’accès aux machines virtuelles et aux ressources de machine virtuelle sur votre instance Azure Stack HCI, vous pouvez utiliser les rôles RBAC suivants :
- Administrateur Azure Stack HCI : ce rôle accorde un accès complet à votre cluster Azure Stack HCI et à ses ressources. Un administrateur Azure Stack HCI peut inscrire le cluster, ainsi que affecter des rôles de lecteur de machine virtuelle Azure Stack HCI et de machine virtuelle Azure Stack HCI à d’autres utilisateurs. Ils peuvent également créer des ressources partagées par cluster, telles que des réseaux logiques, des images de machine virtuelle et des chemins de stockage.
- Contributeur de machine virtuelle Azure Stack HCI : ce rôle accorde des autorisations pour effectuer toutes les actions de machine virtuelle telles que le démarrage, l’arrêt, le redémarrage des machines virtuelles. Un contributeur de machine virtuelle Azure Stack HCI peut créer et supprimer des machines virtuelles, ainsi que les ressources et extensions attachées aux machines virtuelles. Un contributeur de machine virtuelle Azure Stack HCI ne peut pas inscrire le cluster ni attribuer des rôles à d’autres utilisateurs, ni créer des ressources partagées par cluster telles que des réseaux logiques, des images de machine virtuelle et des chemins de stockage.
- Lecteur de machine virtuelle Azure Stack HCI : ce rôle accorde des autorisations pour afficher uniquement les machines virtuelles. Un lecteur de machine virtuelle ne peut effectuer aucune action sur les machines virtuelles ou les ressources et extensions de machine virtuelle.
Voici un tableau qui décrit les actions de machine virtuelle accordées par chaque rôle pour les machines virtuelles et les différentes ressources de machine virtuelle. Les ressources de machine virtuelle sont référencées aux ressources requises pour créer une machine virtuelle et inclure des disques virtuels, des interfaces réseau, des images de machine virtuelle, des réseaux logiques et des chemins de stockage :
| Rôle intégré | Machines virtuelles | Ressources de machine virtuelle |
|---|---|---|
| Administrateur Azure Stack HCI | Créer, lister, supprimer des machines virtuelles Démarrer, arrêter, redémarrer des machines virtuelles |
Créer, répertorier, supprimer toutes les ressources de machine virtuelle, y compris les réseaux logiques, les images de machine virtuelle et les chemins de stockage |
| Contributeur de machine virtuelle Azure Stack HCI | Créer, lister, supprimer des machines virtuelles Démarrer, arrêter, redémarrer des machines virtuelles |
Créer, répertorier, supprimer toutes les ressources de machine virtuelle à l’exception des réseaux logiques, des images de machine virtuelle et des chemins de stockage |
| Lecteur de machine virtuelle Azure Stack HCI | Répertorier toutes les machines virtuelles | Répertorier toutes les ressources de machine virtuelle |
Prérequis
Avant de commencer, vérifiez que les prérequis suivants sont satisfaits :
Veillez à remplir les exigences du cluster Azure Stack HCI.
Assurez-vous que vous avez accès à l’abonnement Azure en tant qu’administrateur d’accès utilisateur ou propriétaire pour attribuer des rôles à d’autres utilisateurs.
Attribuer des rôles RBAC aux utilisateurs
Vous pouvez attribuer des rôles RBAC à l’utilisateur via le Portail Azure. Procédez comme suit pour attribuer des rôles RBAC aux utilisateurs :
Dans le Portail Azure, recherchez l’étendue pour accorder l’accès à, par exemple, rechercher des abonnements, des groupes de ressources ou une ressource spécifique. Dans cet exemple, nous utilisons l’abonnement dans lequel le cluster Azure Stack HCI est déployé.
Accédez à votre abonnement, puis accédez aux attributions de rôles de contrôle d’accès (IAM). > Dans la barre de commandes supérieure, sélectionnez + Ajouter , puis ajoutez une attribution de rôle.
Si vous n’avez pas les autorisations nécessaires pour attribuer des rôles, l’option Ajouter une attribution de rôle est désactivée.
Sous l’onglet Rôle , sélectionnez un rôle RBAC à attribuer et choisissez parmi l’un des rôles intégrés suivants :
- Administrateur Azure Stack HCI
- Contributeur de machine virtuelle Azure Stack HCI
- Lecteur de machine virtuelle Azure Stack HCI
Sous l’onglet Membres , sélectionnez l’utilisateur, le groupe ou le principal du service. Sélectionnez également un membre pour attribuer le rôle.
Passez en revue le rôle et affectez-le.
Vérifiez l’attribution de rôle. Accédez à Contrôle d’accès (IAM) > Vérifier l’accès > Afficher mon accès. Vous devez voir l’attribution de rôle.
Pour plus d’informations sur l’attribution de rôles, consultez Affecter des rôles Azure à l’aide du Portail Azure.
Étapes suivantes
- Créez un chemin de stockage pour une machine virtuelle Azure Stack HCI.