Pour définir ce qu’est une souscription commençons par rappeler ce qu’est Azure Active Directory . AAD est un fournisseur d’identité qui permet l’authentification et l’accès à des ressources dans Azure . Lorsque vous souscrivez à un service Azure ou Office 365 une instance d’AAD est automatiquement créée : c’est votre Tenant .

Une souscription est une unité logique de services Azure liés à un compte Azure dont l’identité est gérée par AAD .Lorsque vous créez un compte azure vous avez le rôle Account Administrator( par défaut Service Administrator aussi ) pour toutes les souscriptions qui vont être créées sur ce compte . Vous pouvez avoir un tenant / annuaire et avoir plusieurs souscriptions différentes pour séparer par exemple la facturation ou la politique d’accès . Vous pouvez transférer les souscriptions entre tenants


Illustration de la relation AAD – Souscription

Pour créer une souscription à partir de son compte il faut aller :

https://account.azure.com/Subscriptions

Plusieurs offres sont disponibles et chacune a son lot de fonctionnalités mais aussi ses restrictions . Certaines nécessitent une CB d’autres non.

Les Permissions ou assignations de role .

Il y a deux types de roles dans Azure

  • Les rôles d’administration classiques comme Account Administrator Service Administrator ou Co-Administrator.
  • Les rôles RBAC ( contrôle d’accès basé sur le rôle ) qui sont disponibles dans Azure Resource Manager.

Il est recommandé lorsque c’est possible d’utiliser les rôles RBAC quand il s’agit de gérer les souscriptions.Les rôles classiques sont en effet adaptés à la gestion des souscriptions et du portail en général ( Créer ou annuler des souscriptions gérer la facturation …) et moins à la gestion des accès aux ressources

Si vous débutez dans Azure allez faire un tour sur la documentation . Cela vous permettra de mieux voir les différences et les limites.

https://docs.microsoft.com/fr-fr/azure/role-based-access-control/rbac-and-directory-admin-roles

Les roles RBAC peuvent être utilisés pour déléguer des droits à des identités managées .

https://docs.microsoft.com/fr-fr/azure/active-directory/managed-identities-azure-resources/overview

Il y a trois principaux rôles intégrés dans RBAC

Rôle intégréDescription
Owner
(Propriétaire)
Permet de tout gérer, notamment l’accès aux ressources.
Contributor (Contributeur)Permet de tout gérer, à l’exception de l’octroi de l’accès aux ressources.
Reader
(Lecteur)
Vous permet de tout afficher, mais sans apporter de modifications.
User Access Administrator (Administrateur d’accès utilisateur)Permet de gérer les accès utilisateurs aux ressources Azure
Socle des rôles RBAC

Pour une liste exhaustive des rôles intégrés :

https://docs.microsoft.com/fr-fr/azure/role-based-access-control/built-in-roles

Dans l’exemple suivant je donne un accès owner au niveau de ma souscription ce qui lui permettra de gérer en toute autonomie la souscription ( Créer , modifier , supprimer des ressources donner des droits à d’autres utilisateurs …

Ensuite choisir le role approprié parmi la liste en fonction du besoin

Voila Chris a désormais tous les droits sur le périmètre de la souscription

Le panneau contrôles d’accès IAM est disponible sur 3 périmètres :

  • La souscription
  • Le groupe de ressources
  • La ressource

Vous pouvez ainsi restreindre ou élargir le périmètre des droits sachant qu’ils fonctionnent par héritage . Si Chris est propriétaire de la souscription il l’est alors pour tous les groupes de ressources et toutes les ressources incluses . Je peux choisir de lui donner les droits que sur un groupe de ressource spécifique ainsi il ne peut agir que su ce dernier et les ressources qu’il contient . Enfin je peux également lui donner les droits que sur une ressource spécifique le périmètre est ainsi très restreint dans la mesure ou il n’aura pas la main sur les autres ressources qui sont dans le même groupe .

En terme de gouvernance il y a un niveau plus élevé que la souscription appelée Management Groups . Imaginez vous avez un grand nombre de souscriptions et vous devez appliquer un certains nombre de règles et de controles notamment pour les accès par exemple . Toutes les souscriptions issus d’un même groupe de gestion héritent des stratégies ou politiques appliquées.


Ibrahima Mbodji

Passionné de nouvelles technologies

0 Comments

%d bloggers like this: