Vues :

 

Politique de gouvernance des locataires Azure 

Lignes directrices des autorisations pour vos abonnements Azure avec Sherweb
 

L’objectif de ce document est de faire connaître la politique Sherweb de gouvernance des locataires Azure, qui s’aligne sur les pratiques exemplaires de sécurité Microsoft Azure, y compris les principes du moindre privilège et de la vérification systématique. 

En tant que propriétaire de vos abonnements Azure, il est important pour vous de comprendre quelles autorisations sont établies automatiquement et de quelles options vous disposez au moment d’attribuer des autorisations à Sherweb.

Afin d’obtenir plus de détails sur la façon dont cela influence votre relation avec Sherweb, veuillez consulter l’Annexe de service Azure

 

Autorisations par défaut de tous les abonnements Azure

Que vous créiez un nouvel abonnement Azure dans le locataire Sherweb ou transfériez un abonnement Azure existant à partir de l’extérieur de Sherweb, voici ce qui se produira :

  • L’agent d’administration Sherweb (ou principal étranger, ou principal de service) sera automatiquement créé dans l’abonnement Azure.

  • Les autorisations de propriétaire seront automatiquement attribuées à ce rôle.

 

Pour les transferts seulement : 

  • Afin de nous assurer de pouvoir vous soutenir pendant le processus de transfert, les autorisations de propriétaire devront être maintenues dans l’abonnement Azure pendant 10 jours (ou jusqu’à ce que le transfert soit réalisé). Une fois le transfert terminé, vous pourrez ajuster l’accès du principal étranger Sherweb dans l’abonnement Azure. 

 

Quels contrôles d’accès en fonction du rôle Azure doivent être attribués, selon le principe du moindre privilège, afin que Sherweb puisse vous soutenir?

Voici les contrôles d’accès en fonction du rôle Azure que nous recommandons afin que vous receviez :

  • Votre rabais Azure Sherweb (pour partenaires seulement)

  • Le soutien Sherweb pour des actions réservées aux fournisseurs CSP indirects, y compris ce qui suit:

     

    • Demander des augmentations de quota par le biais du portail Azure.

    • Annuler des réservations Azure existantes. 

 

Remarque sur votre rabais Azure Sherweb et la portée du soutien

Si au moins un rôle admissible au crédit Partenaires n’est pas attribué au principal étranger Sherweb, vous ne recevrez pas votre rabais Azure Sherweb. Sherweb aura également une capacité limitée ou inexistante à vous soutenir en ce qui a trait à votre abonnement Azure.

 

Action de soutien

Rôle de contrôle d’accès en fonction du rôle Azure

Raison d’être

Admissibilité au Crédit partenaire 

Active le rabais Azure Sherweb 

 

Soumission de billets de soutien Microsoft

 

Contributeur aux demandes de soutien

Permet à Sherweb d’ouvrir des billets de soutien auprès de Microsoft en votre nom par le biais du portail Azure

Oui

 

Demande d’augmentations de quota

 

Opérateur de requêtes de quota

Permet de présenter des demandes d’augmentation de quota par l’entremise du portail Azure.

Non

 

Annulation de réservations Azure

 

Administrateur de réservations

Exigé afin d’annuler des instances réservées.

Non

 

En savoir plus sur les contrôles d’accès en fonction du rôle Azure intégrés disponibles que vous pouvez attribuer à votre abonnement Azure

 

Comment attribuer les contrôles d’accès en fonction du rôle Azure selon le principe du moindre privilège afin de conserver le soutien et votre rabais Azure?

Voici une description étape par étape de ce qui est nécessaire pour attribuer les niveaux d’autorisation minimaux afin que Sherweb soutienne votre abonnement Azure et que vous conserviez votre rabais Azure avec Sherweb.

 

Étape no 1 : Connectez-vous à votre abonnement Azure et ouvrez PowerShell

Étape no 2 : Connectez votre compte Azure par le biais de PowerShell

  • Dans l’interface Azure Cloud Shell, ajoutez la commande suivante et appuyez sur la touche Entrée :

    • Connect-AzAccount-UseDeviceAuthentication

Étape no 3 : Supprimez tous les rôles privilégiés existants attribués à Sherweb de votre abonnement Azure

Étape no 4 : Attribuez de nouvelles autorisations

Ci-dessous se trouvent les scripts permettant d’attribuer des autorisations précises à un utilisateur (ex. : principal étranger) dans votre abonnement Azure.

Remarque : Dans le cas de <ADMIN_AGENTS_OBJECT_ID>, choisissez un des identifiants suivants :

  • Si l’emplacement des données est les États-Unis : 065b0bfc-1277-41bc-bbb7-9b221db190c0

  • Si l’emplacement des données est le Canada : c3e7caf0-c590-4086-9467-abbcd2d62e58

  • Si l’emplacement des données est l'Europe (principal) : e0ba3fef-0a31-4139-a9d4-4711b4324da4

  • Si l’emplacement des données est l'Europe (secondaire) : 999d911a-e48f-4ed9-8a6b-6b3a07cdf6b0 
     
  • Si l’emplacement des données est le Royaume-Uni : 7cc94c08-5bdf-4615-b501-49167881e880
     

Opérateur de requêtes de quota

  • New-AzRoleAssignment

    • ObjectID "<ADMIN_AGENTS_OBJECT_ID>"

    • RoleDefinitionName "Quota Request Operator"

    • Scope "/subscriptions/ <Azure_CSP_Subscription_ID>"

    • ObjectType “ForeignGroup”
       

Contributeur aux demandes de soutien

  • New-AzRoleAssignment

    • ObjectID "<ADMIN_AGENTS_OBJECT_ID>"

    • RoleDefinitionName “Support Request Contributor”

    • Scope "/subscriptions/” <Azure_CSP_Subscription_ID> "

    • ObjectType "ForeignGroup"

 

Administrateur de réservations

  • New-AzRoleAssignment

    • Scope "/providers/Microsoft.Capacity"

    • PrincipalID "<ADMIN_AGENTS_OBJECT_ID>"

    • RoleDefinitionName “Reservations Administrator”

 

Ressources supplémentaires

 

 

Mots clés : Azure, gouvernance, Sherweb, autorisations, abonnements, CSP, rabais, rôle, quota, support, réservations