Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Votre agent peut examiner les problèmes, prendre des mesures sur l’infrastructure de production et accéder aux données sensibles dans votre environnement. Le contrôle d’accès détermine qui peut demander des actions, qui peuvent les approuver et qui peut modifier la configuration de l’agent.
Vue d’ensemble du contrôle d’accès
Le contrôle d’accès fonctionne sur trois couches :
| Couche | Contrôles | Configuré à |
|---|---|---|
| Rôles d’utilisateur (cette page) | Ce que les utilisateurs peuvent faire avec l’agent | Azure IAM sur la ressource de l’agent |
| Modes d’exécution | Indique si l’agent demande avant d’agir | Par plan de réponse et par tâche planifiée |
| Autorisations de l’agent | Que peut accéder the agent sur Azure | Rôles RBAC sur les groupes de ressources |
Trois rôles intégrés
| Rôle | Peut | Ne peut pas |
|---|---|---|
| Lecteur de l’agent SRE | Afficher les threads, les journaux, les incidents | Chat, demander des actions, modifier n'importe quoi |
| Utilisateur standard de l’agent SRE | Conversation, exécution de diagnostics, actions de requête | Approuver des actions, supprimer des ressources, modifier des connecteurs |
| Administrateur de l’agent SRE | Approuver des actions, gérer des connecteurs, supprimer des ressources | — |
L’utilisateur qui crée l’agent reçoit automatiquement le rôle Administrateur de l’agent SRE .
Qui doit avoir quel rôle ?
| Rôle | Donner à |
|---|---|
| Lecteur de l’agent SRE | Auditeurs, équipes de conformité, parties prenantes qui ont besoin de visibilité |
| Utilisateur standard de l’agent SRE | Ingénieurs L1/L2, premiers répondants, toute personne qui diagnostique des problèmes |
| Administrateur de l’agent SRE | Responsables SRE, administrateurs cloud, commandants d’incidents |
Comment le portail applique les autorisations
Le portail vérifie vos attributions de rôles Azure lorsque vous accédez à l’agent. L'accès est contrôlé à deux niveaux.
L'agent n'a aucun accès
Lorsque vous n'avez aucune attribution de rôle d'agent SRE, le portail affiche un écran Accès Requis avec une icône de bouclier et un bouton Accéder au Contrôle d'Accès qui ouvre le panneau Azure IAM. Si vous avez Azure Propriétaire ou Contributeur sur la ressource, vous voyez également une bannière permettant d’attribuer automatiquement le rôle Administrateur.
Mise en œuvre du back-end
Lorsque vous avez un rôle agent SRE, mais que vous tentez une action au-delà de vos autorisations, le serveur principal bloque l’action avec une erreur 403. Le portail peut vous permettre d’accéder à une page ou de sélectionner un bouton, mais l’opération échoue avec une erreur d’autorisation lorsqu’elle atteint le serveur.
Note
Certaines fonctionnalités du portail désactivent de manière proactive les boutons lorsque vous n’avez pas d’autorisations d’écriture. Toutefois, cela n’est pas encore cohérent entre toutes les fonctionnalités : le back-end applique toujours les autorisations correctes, quel que soit l’élément affiché par l’interface utilisateur.
Ce que chaque rôle peut accéder
| Domaine | Reader | utilisateur Standard | Administrator |
|---|---|---|---|
| Chat | Afficher les threads (en lecture seule) | Envoyer des messages, démarrer des threads | Accès complet + approuver des actions, supprimer des threads |
| Canevas de l’agent | Afficher les agents personnalisés | Afficher les agents personnalisés | Créer, modifier, supprimer des agents personnalisés |
| Base de connaissances | Parcourir les documents | Chargement de documents | Charger + supprimer des documents |
| Connecteurs | Afficher les connecteurs | Afficher les connecteurs | Ajouter, modifier, supprimer des connecteurs |
| Plans de réponse | Afficher les plans | Afficher les plans | Créer, modifier, supprimer des plans |
| Ressources gérées | Afficher les ressources | Afficher les ressources | Ajouter, supprimer des ressources |
| Settings | Afficher les paramètres | Afficher les paramètres | Modifier les paramètres, arrêter/supprimer l’agent |
Attribuer des rôles
Attribuez des rôles via le portail Azure (Access control (IAM)>Add role assignment) ou Azure CLI :
az role assignment create \
--assignee user@company.com \
--role "SRE Agent Administrator" \
--scope <agent-resource-id>
Remplacez le nom SRE Agent Standard User du rôle par ou SRE Agent Reader si nécessaire.
Comment les rôles collaborent
| Étape | Qui | Action |
|---|---|---|
| 1 | Ingénieur (utilisateur standard) | « Résoudre le problème de configuration » |
| 2 | Agent | Brouillons de plan de correction |
| 3 | Agent | Impossible d’exécuter (nécessite l’approbation de l’administrateur) |
| 4 | Gestionnaire (administrateur) | Révisions et approbations |
| 5 | Agent | Exécute un correctif à l’aide de l’identité managée |