VUE D’ENSEMBLE DE LA ZONE D’ATTERRISSAGE AZURE

VUE D’ENSEMBLE DE LA ZONE D’ATTERRISSAGE AZURE

La Zone d’atterrissage Azure, qui constitue un sous-ensemble du framework d’adoption cloud de Microsoft pour Azure, aide les clients à configurer leur environnement Azure en matière d’échelle, de sécurité, de gouvernance, de réseau et d’identité.


Abonnement Azure

Lorsque vous créez un locataire Azure, l’étape suivante consiste à définir un ou plusieurs abonnements. Vous vous demanderez peut-être « Combien d’abonnements ai-je besoin? ». Cela dépend de nombreux facteurs : examinons la question plus en détails.

Les abonnements Azure ont des limites différentes pour les divers types de ressources et ce lien explique très bien les limites, quotas et contraintes de service.

 

Les éléments à considérer lors de la conception du modèle d’abonnement sont les suivants :

Exigences techniques
• Connectivité réseau (partagée ou dédiée)
• Exigences en matière d’Active Directory, clustering, identité, outils de gestion

 

Exigences en matière de sécurité
• Qui sont les administrateurs de l’abonnement?
• Modèle du moindre privilège

 

Exigences en matière d’évolutivité
• Plans de croissance
• Allocation de ressources limitées
• Évolution dans le temps (utilisateurs, accès partagé, limites de ressources)

 

Voici quelques questions qu’il convient de se poser avant de créer un abonnement :
• Qui sera responsable de la création des abonnements?
• Quelles ressources seront présentes par défaut dans un abonnement?
• Y a-t-il des limitations de capacité/techniques?
• Voulons-nous assurer la séparation des tâches?
• Dev/Test versus Production?
• Différents clients finaux?
• Différents services ou unités d’affaires?
• Différents projets?
• Quelle est la bonne nomenclature à utiliser?

 

Voici un excellent article sur la convention de nommage.


Ressources Azure

Après avoir configuré les abonnements Azure, la prochaine étape consiste à réfléchir à la manière d’organiser les ressources Azure.


GROUPE D’aDMINISTRATION AZURE

 

Vous devez définir la hiérarchie des groupes d’administration en fonction de l’organisation et du type d’environnement (production, dev/test, etc.).

Le groupe d’administration racine est destiné à la configuration globale; il faut être attentif aux évaluations du niveau d’administration car elles se répercuteront en cascade dans la hiérarchie. Assignez des stratégies communes et des RBAC au niveau du groupe d’administration.

Les rôles RBAC intégrés pour le groupe d’administration sont le contributeur MG et le lecteur MG.


CONTRÔLE D’ACCÈS EN FONCTION DU RÔLE (RBAC) AZURE

 

Grâce au RBAC, il est possible de séparer les tâches au sein de votre équipe et de n’accorder aux utilisateurs que les accès dont ils ont besoin pour faire leur travail. Au lieu de donner des autorisations illimitées à tout le monde dans votre abonnement ou vos ressources Azure, vous pouvez n’autoriser que certaines actions dans un contexte particulier.

  1. Principal de sécurité

Un principal de sécurité est un objet représentant un utilisateur, un groupe, un principal de service ou une identité managée qui demande accès aux ressources Azure.

 

  1. Principal de service

Un principal de service est une identité de sécurité utilisée par des applications ou des services pour accéder à des ressources Azure spécifiques. On peut le considérer comme une identité d’utilisateur (nom d’utilisateur et mot de passe ou certificat) pour une application.

 

  1. Identité managée

Une identité managée est une identité dans l’Active Directory d’Azure qérée par Azure. Vous utilisez généralement des identités managées lors du développement d’applications cloud afin de gérer les informations d’identification pour l’authentification aux services Azure.

 

  1. Définition de rôle

Une définition de rôle est un ensemble de permissions. Parfois, on l’appelle simplement rôle. Une définition de rôle répertorie les opérations qui peuvent être effectuées, comme la lecture, l’écriture et la suppression. Les rôles peuvent être de haut niveau, comme le propriétaire, ou spécifiques, comme le lecteur de machine virtuelle. Vous pouvez créer des rôles personnalisés si aucun des rôles intégrés existants ne répond aux besoins particuliers de votre organisation.

 

  1. Portée

La portée représente la limite à laquelle l’accès s’applique. Lorsque vous attribuez un rôle, vous pouvez limiter davantage les actions autorisées en définissant une portée. Ceci est utile si vous souhaitez désigner une personne comme contributeur de site Web, mais seulement pour un groupe de ressources.


ÉTIQUETTES AZURE

Vous trouverez ci-dessous le guide de décision en matière d’étiquetage.

Voici le lien vers les meilleures pratiques d’utilisation des étiquettes de ressources.

 


STRATÉGIE AZURE

La stratégie Azure peut appliquer une stratégie en temps réel et une évaluation de la conformité à l’échelle. De plus, la stratégie évalue toutes les ressources Azure et peut générer des événements qui peuvent être utilisés pour des alertes. Enfin, la stratégie Azure peut être utilisée pour remédier automatiquement aux problèmes dans l’environnement.

Je recommande de commencer par des stratégies d’audit, qui constituent un moyen sûr de comprendre ce qu’une stratégie fera sans affecter l’activité de l’utilisateur. En outre, les stratégies de refus doivent être déployées par étape afin d’en mesurer l’impact.

Ceci résume la vue d’ensemble de la Zone d’atterrissage Azure.


 

À propos de l’auteur :

 

Abdul Kazi est architecte Azure chez FX Innovation et se spécialise en infrastructure en tant que service (IaaS). Possédant 18 ans d’expérience en technologies de l’information, il a occupé plusieurs postes dans le secteur des TI.

 

De plus, Abdul est très actif au sein de la communauté Azure et a récemment abordé la gestion des coûts Azure lors du Global Azure Bootcamp 2021.

N’hésitez pas à vous connecter avec Abdul sur LinkedIn et à le suivre sur Twitter.

Vous pouvez également consulter ses certifications sur Credly.

 

Pour en savoir plus, consultez le blogue personnel d’Abdul – Abdul Kazi Blog – All about Cloud (abdulwkazi.com)

Abdul Kazi

Architecte Azure

Possédant 18 ans d’expérience en technologies de l’information, il a occupé plusieurs postes dans le secteur des TI.

De plus, Abdul est très actif au sein de la communauté Azure et a récemment abordé la gestion des coûts Azure lors du Global Azure Bootcamp 2021.

Comments are closed.