Sécuriser les ressources avec le contrôle d’accès en fonction du rôle

Effectué

L’implémentation d’Azure Policy garantit que tous nos employés ayant un accès Azure respectent nos standards internes pour la création de ressources, mais nous avons un deuxième problème à résoudre : comment protéger ces ressources une fois qu’elles sont déployées ? Le personnel informatique doit gérer les paramètres, les développeurs ont besoin d’un accès en lecture seule et les administrateurs doivent pouvoir les contrôler complètement. Entrez Contrôle d’accès en fonction du rôle (RBAC).

Le contrôle RBAC offre une gestion précise des accès aux ressources Azure, ce qui vous permet d’accorder aux utilisateurs les droits spécifiques dont ils ont besoin pour accomplir leur travail. Le contrôle RBAC est considéré comme un service principal et est inclus gratuitement dans tous les niveaux d’abonnement.

À l’aide du contrôle RBAC, vous pouvez :

  • Permettre à un utilisateur de gérer les machines virtuelles d’un abonnement, et à un autre de gérer les réseaux virtuels.
  • Permettre à un groupe d’administrateurs de base de données de gérer les bases de données SQL d’un abonnement.
  • Permettre à un utilisateur de gérer toutes les ressources d’un groupe de ressources (machines virtuelles, sites web et sous-réseaux virtuels).
  • Permettre à une application d’accéder à toutes les ressources d’un groupe de ressources.

Pour afficher les autorisations d’accès, utilisez le panneau Contrôle d’accès (IAM) pour la ressource dans le portail Azure. Dans ce panneau, vous pouvez déterminer qui peut accéder à une zone et le rôle qui lui est attribué. Dans ce même panneau, vous pouvez aussi accorder ou supprimer des accès.

Capture d’écran du volet Contrôle d’accès - Attribution de rôles dans le portail Azure montrant les rôles d’opérateur de sauvegarde et de lecteur de facturation attribués à différents utilisateurs.

Définition de l’accès par le contrôle RBAC

Le contrôle RBAC utilise un modèle d’autorisation pour l’accès. Quand un rôle vous est attribué, le contrôle RBAC vous permet d’effectuer certaines actions comme lire, écrire ou supprimer. Par conséquent, si une attribution de rôle vous accorde des autorisations de lecture sur un groupe de ressources et qu’une autre attribution de rôle vous accorde des autorisations d’écriture sur le même groupe de ressources, vous avez des autorisations de lecture et d’écriture sur ce groupe de ressources.

Bonnes pratiques pour le contrôle RBAC

Voici quelques bonnes pratiques que vous devez utiliser lors de la configuration des ressources :

  • Séparez les tâches au sein de votre équipe et accordez aux utilisateurs seulement les accès nécessaires pour accomplir leur travail. Plutôt que de donner à tous des autorisations illimitées au sein de votre abonnement ou de vos ressources Azure, autorisez uniquement certaines actions sur une étendue donnée.
  • Quand vous planifiez votre stratégie de contrôle d’accès, accordez aux utilisateurs le niveau de privilège minimal nécessaire pour effectuer leur travail.
  • Utilisez Verrous de ressources pour garantir que des ressources critiques ne sont pas modifiées ni supprimées (comme vous le verrez dans la prochaine unité).