Attribuer des rôles Azure à l'aide de modèles Azure Resource Manager - Azure RBAC (2023)

Contrôle d'accès basé sur les rôles Azure (Azure RBAC)est le système d'autorisation que vous utilisez pour gérer l'accès aux ressources Azure. Pour accorder l'accès, vous attribuez des rôles aux utilisateurs, aux groupes, aux principaux de service ou aux identités managées dans une étendue particulière. En plus d'utiliser Azure PowerShell ou Azure CLI, vous pouvez attribuer des rôles à l'aide deModèles Azure Resource Manager. Les modèles peuvent être utiles si vous devez déployer des ressources de manière cohérente et répétée. Cet article décrit comment attribuer des rôles à l'aide de modèles.

Conditions préalables

Pour attribuer des rôles Azure, vous devez disposer :

• Microsoft.Authorization/roleAssignments/writeautorisations, telles queAdministrateur d'accès utilisateurouPropriétaire

Vous devez utiliser les versions suivantes :

• 2018-09-01-aperçuou version ultérieure pour attribuer un rôle Azure à un nouveau principal de service
• 2020-04-01-aperçuou version ultérieure pour attribuer un rôle Azure au niveau de la ressource
• 2022-04-01est la première version stable

Pour plus d'informations, voirVersions d'API des API Azure RBAC REST.

Obtenir des ID d'objet

Pour attribuer un rôle, vous devez spécifier l'ID de l'utilisateur, du groupe ou de l'application auquel vous souhaitez attribuer le rôle. L'identifiant a le format :11111111-1111-1111-1111-111111111111. Vous pouvez obtenir l'ID à l'aide du portail Azure, d'Azure PowerShell ou d'Azure CLI.

Utilisateur

Pour obtenir l'ID d'un utilisateur, vous pouvez utiliser leGet-AzADUserouaffichage de l'utilisateur az adcommandes.

$objectid = (Get-AzADUser -DisplayName "{nom}").id

objectid=$(az ad user show --id "{email}" --query id --output tsv)

Groupe

Pour obtenir l'ID d'un groupe, vous pouvez utiliser leGet-AzADGroupouémission de groupe d'annonces azcommandes.

$objectid = (Get-AzADGroup -DisplayName "{nom}").id

objectid=$(az ad group show --group "{name}" --query id --output tsv)

Identités gérées

Pour obtenir l'ID d'une identité managée, vous pouvez utiliserGet-AzAdServiceprincipalouça donne spcommandes.

$objectid = (Get-AzADServicePrincipal -DisplayName ).id

objectid=$(az ad sp list --display-name  --query [].id --output tsv)

Application

Pour obtenir l'ID d'un principal de service (identité utilisée par une application), vous pouvez utiliser leGet-AzADServicePrincipaloula liste des sp d'annoncescommandes. Pour un principal de service, utilisez l'ID d'objet etpasl'identifiant de l'application.

$objectid = (Get-AzADServicePrincipal -DisplayName "{nom}").id

objectid=$(az ad sp list --display-name "{name}" --query [].id --output tsv)

Attribuer un rôle Azure

Dans Azure RBAC, pour accorder l'accès, vous attribuez un rôle.

Étendue du groupe de ressources (sans paramètres)

Le modèle suivant montre une manière simple d'attribuer un rôle. Certaines valeurs sont spécifiées dans le modèle. Le modèle suivant illustre :

• Comment attribuer leLecteurrôle à un utilisateur, un groupe ou une application au niveau d'un groupe de ressources

Pour utiliser le modèle, vous devez procéder comme suit :

• Créez un nouveau fichier JSON et copiez le modèle
• Remplaceravec l'ID d'un utilisateur, d'un groupe, d'une identité managée ou d'une application à qui attribuer le rôle

{ "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#", "contentVersion": "1.0.0.0", "ressources": [ { " type": "Microsoft.Authorization/roleAssignments", "apiVersion": "2022-04-01", "name": "[guid(resourceGroup().id)]", "properties": { "roleDefinitionId": " [concat('/subscriptions/', subscription().subscriptionId, '/providers/Microsoft.Authorization/roleDefinitions/', 'acdd72a7-3385-48ef-bd42-f606fba81ae7')]", "principalId": "" } } ]}

Voici exempleNouveau-AzResourceGroupDeploymentNew-AzResourceGroupDeploymentetcréation d'un groupe de déploiement azcommandes pour savoir comment démarrer le déploiement dans un groupe de ressources nommé ExampleGroup.

Nouveau-AzResourceGroupDeployment -ResourceGroupName ExampleGroup -TemplateFile rbac-test.json

groupe de déploiement az créer --resource-group ExampleGroup --template-file rbac-test.json

L'exemple suivant montre l'attribution du rôle Lecteur à un utilisateur pour un groupe de ressources après le déploiement du modèle.

Groupe de ressources ou étendue de l'abonnement

Le modèle précédent n'est pas très flexible. Le modèle suivant utilise des paramètres et peut être utilisé dans différentes étendues. Le modèle suivant illustre :

• Comment attribuer un rôle à un utilisateur, un groupe ou une application au niveau d'un groupe de ressources ou d'une portée d'abonnement
• Comment spécifier les rôles Propriétaire, Contributeur et Lecteur en tant que paramètre

Pour utiliser le modèle, vous devez spécifier les entrées suivantes :

• ID d'un utilisateur, d'un groupe, d'une identité managée ou d'une application à laquelle attribuer le rôle
• Un ID unique qui sera utilisé pour l'attribution du rôle, ou vous pouvez utiliser l'ID par défaut

{ "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#", "contentVersion": "1.0.0.0", "parameters": { "principalId " : { "type": "string", "metadata": { "description": "Le principal auquel attribuer le rôle" } }, "builtInRoleType": { "type": "string", "allowedValues": [ "Propriétaire", "Contributeur", "Lecteur" ], "metadata": { "description": "Rôle intégré à attribuer" } }, "roleNameGuid": { "type": "string", "defaultValue": "[newGuid()]", "metadata": { "description": "Un nouveau GUID utilisé pour identifier l'attribution de rôle" } } }, "variables": { "Owner": "[concat('/subscriptions/' , subscription().subscriptionId, '/providers/Microsoft.Authorization/roleDefinitions/', '8e3af657-a8ff-443c-a75c-2fe8c4bcb635')]", "Contributor": "[concat('/subscriptions/', subscription( ).subscriptionId, '/providers/Microsoft.Authorization/roleDefinitions/', 'b24988ac-6180-42a0-ab88-20f7382dd24c')]", "Reader": "[concat('/subscriptions/', subscription().subscriptionId , '/providers/Microsoft.Authorization/roleDefinitions/', 'acdd72a7-3385-48ef-bd42-f606fba81ae7')]" }, "ressources": [ { "type": "Microsoft.Authorization/roleAssignments", "apiVersion" : "2022-04-01", "name": "[parameters('roleNameGuid')]", "properties": { "roleDefinitionId": "[variables(parameters('builtInRoleType'))]", "principalId" : "[parameters('principalId')]" } } ]}

L'étendue de l'attribution de rôle est déterminée à partir du niveau du déploiement. Voici exempleNouveau-AzResourceGroupDeploymentNew-AzResourceGroupDeploymentetcréation d'un groupe de déploiement azcommandes pour savoir comment démarrer le déploiement au niveau d'un groupe de ressources.

Nouveau-AzResourceGroupDeployment -ResourceGroupName ExampleGroup -TemplateFile rbac-test.json -principalId $objectid -builtInRoleType Lecteur

groupe de déploiement az créer --resource-group ExampleGroup --template-file rbac-test.json --parameters principalId=$objectid builtInRoleType=Reader

Voici exempleNouveau-AzDeploymentetcréation de sous-déploiement azcommandes pour savoir comment démarrer le déploiement dans une étendue d'abonnement et spécifier l'emplacement.

Nouveau-AzDeployment -Location centralus -TemplateFile rbac-test.json -principalId $objectid -builtInRoleType Reader

sous-déploiement az créer --location centralus --template-file rbac-test.json --parameters principalId=$objectid builtInRoleType=Reader

Portée des ressources

Si vous devez attribuer un rôle au niveau d'une ressource, définissez leportéepropriété sur l'attribution de rôle au nom de la ressource.

Le modèle suivant illustre :

• Comment créer un nouveau compte de stockage
• Comment attribuer un rôle à un utilisateur, un groupe ou une application au niveau du compte de stockage
• Comment spécifier les rôles Propriétaire, Contributeur et Lecteur en tant que paramètre

Pour utiliser le modèle, vous devez spécifier les entrées suivantes :

• ID d'un utilisateur, d'un groupe, d'une identité managée ou d'une application à laquelle attribuer le rôle

{ "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#", "contentVersion": "1.0.0.0", "parameters": { "principalId " : { "type": "string", "metadata": { "description": "Le principal auquel attribuer le rôle" } }, "builtInRoleType": { "type": "string", "allowedValues": [ "Propriétaire", "Contributeur", "Lecteur" ], "metadata": { "description": "Rôle intégré à attribuer" } }, "roleNameGuid": { "type": "string", "defaultValue": "[newGuid()]", "metadata": { "description": "Un nouveau GUID utilisé pour identifier l'attribution de rôle" } }, "location": { "type": "string", "defaultValue": "[ resourceGroup().location]" } }, "variables": { "Propriétaire": "[concat('/subscriptions/', subscription().subscriptionId, '/providers/Microsoft.Authorization/roleDefinitions/', '8e3af657- a8ff-443c-a75c-2fe8c4bcb635')]", "Contributeur": "[concat('/subscriptions/', subscription().subscriptionId, '/providers/Microsoft.Authorization/roleDefinitions/', 'b24988ac-6180-42a0 -ab88-20f7382dd24c')]", "Reader": "[concat('/subscriptions/', subscription().subscriptionId, '/providers/Microsoft.Authorization/roleDefinitions/', 'acdd72a7-3385-48ef-bd42- f606fba81ae7')]", "storageName": "[concat('storage', uniqueString(resourceGroup().id))]" }, "ressources": [ { "apiVersion": "2019-04-01", " type": "Microsoft.Storage/storageAccounts", "name": "[variables('storageName')]", "location": "[parameters('location')]", "sku": { "name": "Standard_LRS" }, "kind": "Storage", "properties": {} }, { "type": "Microsoft.Authorization/roleAssignments", "apiVersion": "2022-04-01", "name": "[parameters('roleNameGuid')]", "scope": "[concat('Microsoft.Storage/storageAccounts', '/', variables('storageName'))]", "dependsOn": [ "[variables( 'storageName')]" ], "properties": { "roleDefinitionId": "[variables(parameters('builtInRoleType'))]", "principalId": "[parameters('principalId')]" } } ]}

Pour déployer le modèle précédent, vous utilisez les commandes du groupe de ressources. Voici exempleNouveau-AzResourceGroupDeploymentNew-AzResourceGroupDeploymentetcréation d'un groupe de déploiement azcommandes pour savoir comment démarrer le déploiement au niveau d'une portée de ressource.

Nouveau-AzResourceGroupDeployment -ResourceGroupName ExampleGroup -TemplateFile rbac-test.json -principalId $objectid -builtInRoleType Contributeur

groupe de déploiement az créer --resource-group ExampleGroup --template-file rbac-test.json --parameters principalId=$objectid builtInRoleType=Contributeur

L'exemple suivant montre l'attribution du rôle Contributeur à un utilisateur pour un compte de stockage après le déploiement du modèle.

Nouveau chef de service

Si vous créez un nouveau principal de service et essayez immédiatement d'attribuer un rôle à ce principal de service, cette attribution de rôle peut échouer dans certains cas. Par exemple, si vous créez une nouvelle identité managée, puis essayez d'attribuer un rôle à ce principal de service dans le même modèle Azure Resource Manager, l'attribution du rôle peut échouer. La raison de cet échec est probablement un retard de réplication. Le principal de service est créé dans une région ; cependant, l'attribution de rôle peut se produire dans une autre région qui n'a pas encore répliqué le principal de service.

Pour faire face à ce scénario, vous devez définir leprincipalTypepropriété àServicePrincipallors de la création de l'attribution de rôle. Vous devez également définir leapiVersionde l'attribution du rôle à2018-09-01-aperçuou plus tard.2022-04-01est la première version stable.

Le modèle suivant illustre :

• Comment créer un nouveau principal de service d'identité managée
• Comment spécifier leprincipalType
• Comment attribuer le rôle de contributeur à ce principal de service dans une étendue de groupe de ressources

Pour utiliser le modèle, vous devez spécifier les entrées suivantes :

• Le nom de base de l'identité managée, ou vous pouvez utiliser la chaîne par défaut

{ "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#", "contentVersion": "1.0.0.0", "parameters": { "baseName " : { "type": "string", "defaultValue": "msi-test" } }, "variables": { "identityName": "[concat(parameters('baseName'), '-bootstrap')]" , "bootstrapRoleAssignmentId": "[guid(concat(resourceGroup().id, 'contributor'))]", "contributorRoleDefinitionId": "[concat('/subscriptions/', subscription().subscriptionId, '/providers/Microsoft .Authorization/roleDefinitions/', 'b24988ac-6180-42a0-ab88-20f7382dd24c')]" }, "ressources": [ { "type": "Microsoft.ManagedIdentity/userAssignedIdentities", "name": "[variables(' identityName')]", "apiVersion": "2018-11-30", "location": "[resourceGroup().location]" }, { "type": "Microsoft.Authorization/roleAssignments", "apiVersion": "2022-04-01", "name": "[variables('bootstrapRoleAssignmentId')]", "dependsOn": [ "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]" ] , "properties": { "roleDefinitionId": "[variables('contributorRoleDefinitionId')]", "principalId": "[reference(resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName')), '2018- 11-30').principalId]", "principalType": "ServicePrincipal" } } ]}

Voici exempleNouveau-AzResourceGroupDeploymentNew-AzResourceGroupDeploymentetcréation d'un groupe de déploiement azcommandes pour savoir comment démarrer le déploiement au niveau d'un groupe de ressources.

Nouveau-AzResourceGroupDeployment -ResourceGroupName ExampleGroup2 -TemplateFile rbac-test.json

groupe de déploiement az créer --resource-group ExampleGroup2 --template-file rbac-test.json

L'exemple suivant montre un exemple d'attribution de rôle de contributeur à un nouveau principal de service d'identité managée après le déploiement du modèle.

Prochaines étapes

• Démarrage rapide : Créer et déployer des modèles ARM à l'aide du portail Azure
• Comprendre la structure et la syntaxe des modèles ARM
• Créer des groupes de ressources et des ressources au niveau de l'abonnement
• Modèles de démarrage rapide Azure