Gestion de l’accès aux ressources dans Azure

Dans cet article, découvrez comment les ressources sont déployées dans Azure, en commençant par les constructions Azure fondamentales des ressources, des abonnements et des groupes de ressources. Vous découvrez ensuite comment Azure Resource Manager (ARM) déploie des ressources.

Qu’est-ce qu’une ressource Azure ?

Dans Azure, une ressource est une entité gérée par Azure. Les machines virtuelles, les réseaux virtuels et les comptes de stockage sont tous des exemples de ressources Azure.

Qu’est-ce qu’un groupe de ressources Azure ?

Chaque ressource dans Azure doit appartenir à un groupe de ressources. Un groupe de ressources est un conteneur logique qui regroupe plusieurs ressources pour vous permettre de les gérer comme une seule entité, en fonction du cycle de vie et de la sécurité. Par exemple, vous pouvez créer ou supprimer des ressources en tant que groupe si celles-ci partagent un cycle de vie similaire, tels que les ressources d’une application multi-niveau. En d’autres termes, tous les éléments que vous créez, gérez et dépréciez ensemble sont associés à un même groupe de ressources.

Une bonne pratique recommandée est d’associer les groupes de ressources et les ressources qu’ils contiennent à un abonnement Azure.

Qu’est-ce qu’un abonnement Azure ?

Un abonnement Azure est semblable à un groupe de ressources : il s’agit d’un conteneur logique qui regroupe des groupes de ressources et leurs ressources respectives. Un abonnement Azure est également associé aux contrôles Azure Resource Manager. Découvrez Azure Resource Manager et sa relation avec les abonnements Azure.

Qu’est-ce qu’Azure Resource Manager ?

Dans Fonctionnement d’Azure, vous avez découvert qu’Azure comprend un front-end avec des services qui orchestrent toutes les fonctions d’Azure. L’un de ces services est Azure Resource Manager. Ce service héberge les clients de l’API RESTful utilisés pour gérer les ressources.

La figure suivante montre trois clients : Azure PowerShell, le Portail Azure et l’interface CLI Azure :

Bien que ces clients se connectent à Resource Manager à l’aide de l’API REST, Resource Manager n’inclut pas de fonctionnalité pour gérer directement les ressources. Au lieu de cela, la plupart des types de ressources Azure ont leur propre fournisseur de ressources.

Quand un client effectue une requête pour gérer une ressource spécifique, Azure Resource Manager se connecte au fournisseur de ressources pour ce type de ressources afin d’exécuter la requête. Par exemple, si un client effectue une requête pour gérer une ressource de machine virtuelle, Azure Resource Manager se connecte au fournisseur de ressources Microsoft.Compute.

Azure Resource Manager exige du client qu’il spécifie un identificateur pour l’abonnement et le groupe de ressources, afin de gérer la ressource de machine virtuelle.

Une fois que vous comprenez le fonctionnement d’Azure Resource Manager, vous pouvez apprendre à associer un abonnement Azure avec les contrôles Azure Resource Manager. Avant qu’Azure Resource Manager puisse exécuter une demande de gestion des ressources, passez en revue les jeux de contrôles suivants.

Le premier contrôle est le fait qu’un utilisateur validé doit effectuer une demande. En outre, Azure Resource Manager doit avoir une relation approuvée avec Microsoft Entra ID pour fournir la fonctionnalité d’identité de l’utilisateur.

Dans Microsoft Entra ID, vous pouvez segmenter les utilisateurs en locataires. Un locataire est une construction logique qui représente une instance de Microsoft Entra ID dédiée et sécurisée, généralement associée à une organisation. Vous pouvez également associer chaque abonnement à un locataire Microsoft Entra.

Chaque requête du client pour gérer une ressource dans un abonnement spécifique requiert que l’utilisateur dispose d’un compte dans le client Microsoft Entra associé.

Le contrôle suivant consiste à vérifier que l’utilisateur dispose des autorisations suffisantes pour effectuer la requête. Les autorisations sont attribuées aux utilisateurs à l’aide du contrôle d’accès en fonction du rôle Azure (RBAC Azure).

Un rôle Azure spécifie un ensemble d’autorisations qu’un utilisateur peut avoir sur une ressource spécifique. Lorsque le rôle est attribué à l’utilisateur, ces autorisations s’appliquent. Par exemple, le rôle Propriétaire intégré autorise un utilisateur à exécuter une action sur une ressource.

Le contrôle suivant vérifie que la requête est autorisée sous les paramètres spécifiés dans la stratégie de ressources Azure. Les stratégies de ressources Azure spécifient les opérations autorisées pour une ressource spécifique. Par exemple, une stratégie de ressources Azure peut spécifier que les utilisateurs sont uniquement autorisés à déployer un type spécifique de machine virtuelle.

Le contrôle suivant consiste à vérifier que la requête ne dépasse pas une limite d’abonnement Azure. Par exemple, chaque abonnement dispose d’une limite de 980 groupes de ressources par abonnement. Si vous recevez une demande de déploiement d’un autre groupe de ressources quand la limite est atteinte, refusez-la.

Le contrôle final vérifie que la requête est comprise dans l’engagement financier que vous associez à l’abonnement. Par exemple, si la requête doit déployer une machine virtuelle, Azure Resource Manager vérifie que l’abonnement dispose des informations de paiement suffisantes.

Résumé

Dans cet article, vous avez étudié la gestion des accès aux ressources dans Azure à l’aide d’Azure Resource Manager.

Étapes suivantes

Découvrez plus en détail l’adoption du cloud avec Microsoft Cloud Adoption Framework pour Azure.