Restreindre l’accès avec RBAC
Azure Monitor stocke les journaux collectés à partir des systèmes gérés dans un espace de travail Log Analytics.
Chaque espace de travail constitue une limite de sécurité que vous pouvez protéger avec RBAC au niveau de l’espace de travail.
Cependant, le contenu de chaque espace de travail est également soumis à un mécanisme de contrôle d’accès qui examine les autorisations attribuées aux ressources individuelles à partir desquelles les journaux ont été collectés.
La détermination du mécanisme qui s’applique dépend de plusieurs facteurs, notamment :
Mode d’accès
Cela représente la méthode utilisée pour accéder à l’espace de travail et définit le mode de contrôle d’accès appliqué automatiquement. Il existe deux modes d’accès :
- Contexte de l’espace de travail :
Ce mode s’applique lorsque vous accédez aux journaux depuis la section Azure Monitor du portail Azure.
Dans ce cas, la portée est définie sur toutes les données de toutes les tables de l’espace de travail. - Contexte de la ressource :
Ce mode s’applique lorsque vous accédez aux journaux depuis le volet d’une ressource individuelle.
Dans ce cas, la portée est définie sur toutes les données de cette ressource spécifique uniquement.
Mode de contrôle d’accès
Il s’agit d’un paramètre au niveau de l’espace de travail qui définit comment les autorisations sont déterminées au niveau de l’espace de travail et de la ressource. Il existe deux modes :
- Exiger des autorisations au niveau de l’espace de travail :
Ce mode est basé sur les autorisations de l’espace de travail, que ce soit dans le contexte de l’espace de travail ou de la ressource. - Utiliser les autorisations de la ressource ou de l’espace de travail :
Ce mode est basé sur les autorisations de l’espace de travail dans le contexte de l’espace de travail, et sur les autorisations de la ressource dans le contexte de la ressource.
C’est le paramètre par défaut pour tous les espaces de travail.
Bien que cela fonctionne comme prévu pour les ressources Azure, cela pose un défi lors de l’accès aux données collectées à partir d’ordinateurs locaux, car ils ne sont pas soumis au RBAC Azure.
Azure Arc permet de résoudre ce problème, car il attribue un ID de ressource et un groupe de ressources Azure correspondant à chaque ordinateur non Azure.
Ainsi, vous pouvez configurer l’accès aux journaux collectés à partir d’ordinateurs locaux en utilisant le même mécanisme que celui appliqué aux ressources Azure.
Gérer l’accès
Pour gérer l’accès à l’aide de RBAC pour les ressources locales, suivez la procédure suivante :
- Depuis le portail Azure, accédez à Azure Arc.
- Sélectionnez Gérer les serveurs.
- Dans la liste des serveurs gérés, sélectionnez le serveur approprié, puis dans le menu de navigation, sélectionnez Contrôle d’accès (IAM).
Le tableau suivant décrit les cinq onglets disponibles sur la page Contrôle d’accès (IAM), ainsi que les actions que vous pouvez y effectuer.
| Onglet | Explication |
|---|---|
| Vérifier l’accès | Vous pouvez utiliser les liens de l’onglet Vérifier l’accès pour ajouter une affectation de rôle sur la ressource, consulter les affectations de rôle et afficher les affectations de refus. Vous pouvez également rechercher des principaux de sécurité Microsoft Entra spécifiques, tels que des utilisateurs et des groupes, et déterminer les niveaux d’accès qu’ils ont sur la ressource. En savoir plus : Démarrage rapide – Afficher les accès d’un utilisateur aux ressources Azure. |
| Affectations de rôle | Dans l’onglet Affectations de rôle, vous pouvez consulter les affectations de rôle actuelles et les modifier si nécessaire. En savoir plus : Ajouter ou supprimer des affectations de rôle Azure via le portail Azure. |
| Affectations de refus | Utilisez l’onglet Affectations de refus pour consulter les utilisateurs bloqués qui sont empêchés d’effectuer certaines actions, même si une affectation de rôle leur accorde l’accès requis. En savoir plus : Lister les affectations de refus Azure via le portail Azure. |
| Administrateurs classiques | Dans l’onglet Administrateurs classiques, consultez les administrateurs classiques de votre organisation. Ces utilisateurs ne sont nécessaires que si vous utilisez encore des déploiements classiques Azure. En savoir plus : Administrateurs d’abonnement classique Azure. |
| Rôles | Dans l’onglet Rôles, vous pouvez affecter des comptes d’utilisateurs aux rôles intégrés. Vous ajoutez une affectation de rôle depuis la barre d’outils. En savoir plus : Ajouter ou supprimer des affectations de rôle Azure via le portail Azure. |
💡 Astuce
Dans la barre d’outils, sélectionnez + Ajouter pour ajouter un coadministrateur ou une nouvelle affectation de rôle.
Lectures complémentaires
Vous pouvez en apprendre davantage en consultant le document suivant :
- Qu’est-ce que le contrôle d’accès basé sur les rôles Azure (Azure RBAC) ?
