Open Jean-Baptiste-Lasselle opened 11 months ago
étape zéro:
Properties
", Properties
" du Azure ADterraform
, et là il faut du policy as code
sentinel). Les management groups servent à regrouper, orgniser les subscriptions (example: un pour les subscriptions d'équipes projets, un pour les subscriptions des équipes infra core, security, networking, resilience/sre, computing, data, etc... Un autre management group pour les subscriptions qui vont prendre les factures de tout ce qui est Microsoft 365, laptop utilisateurs)step2 :
Tout les management groups créés seront dans un management group qui existe tjrs et que l'on ne peut supprimer, le "Tenant Root Group"
On créée les management groups et les subscriptions, en mettant les subscriptions dans les mangement groups :
manageemnt group "infra
": toutes les souscriptions de toutes les équipes infra core
80% des permissions au niveau management group :
on aura tjrs les owners: propriétaires, seuls eux ont le drroits d'attribuer toutes les permissions sur le même management group. 2/3 personnes maximum, ils détiennent les subscriptions contenues dans leur management group, la seule chose que je vois c'est que le modèle d'attribution des permissions doit permettre de ne pas avoir de "bottleneck". Les 2/3 personnes, tjrs au moins une dispo pour donner des droits immédiatement (donc leurs opérations standard de CRUD des permissions doivent être automatisées, afin de leur appliquer policy as code)
on aura toujours les contributeurs: donc eux n'auront pas le droit de donner de permissions aux autres users, mais auront des droits de leur utilisateur, sur les ressources
exemple typique à garder en tête :
pour faire du réseau par exemple, on donnera la possibilité en lecture seule sur des ressources réseaux dans d'autres subscriptions que celle de l'équipe networking. Potentiellement, pour le backbone par exemple, on voudra donner les droits en lecture seule sur toutes les ressources réseau, dans toutes les autres subscriptions
un owner, c'est qqun qui a tout les droits, y compris de gérer les permissions des autres users
un contributeur, c'est qqun qui a le droit de tout faire, sauf de gérer les permissions de qui que ce soit
pour tout ce qui est automatisation, on utilise des services principals (et des managed identities): eux doivent toujours être contributeurs
case :
7 abonnements ("subscriptions"), 7 service principals
créer un "management group", Azure AD, appelé "Azure Reader", les users de ce groupe pourront lire dans tout les autres abonnements
mettre les 7 service principals dans ce groupe AD, appelé "Azure Reader"
chaque service principal devra avoir le droit de lecture sur tout les autres abonnements
sur chaque abonnement (subscription), je mets un service principal en rôle contributeur
règle: ne pas mettre de permissions spécifiques sur un "resource group"
avec ce modèle, lorsque'une équipe projet (un prestataire) demande "donnes moi tout ce dont j'ai besoin pour déployer":
note, très important : si on créée un abonnement (une "subscription") Azure, cela ne coûte rien, un abbonnement en lui-même ne coûte strictement rien
n'importe quel projet qi commence sur azure, derait toujours commencer avec au moins 4 "subscriptions" (abonnements) :
Sur les management groups, gestion permissions:
Note importante:
here i need to stress on how to integrate that with PAC (Policy As Code) tools, like sentinel
CIS
compliant, https://www.cisecurity.org/benchmark/azureles tags de ressources, c'est très important, ainsi que les naming conventions, (cela fait partie de la gouvernance) :
il existe un outil microsoft pour gérer une normalisation de nommage :
J'ai compris quelques choses :
terraform
etc...Tuto spécifique cloud adoption framework / landing zones :
https://medium.com/the-factory-nl/how-to-implement-an-azure-landing
Cette vidéo sur laquelle je me suis basée est très récente, avril 2023 :
https://github.com/aztfmod/rover
The rover is a docker container in charge of the deployment of the Azure CAF Terraform landingzones
https://aztfmod.github.io/documentation/docs/azure-landing-zones/landingzones/alz-intro
oh purée :
management groups :
EntrepriseExemple
, et les réseaux qui appartiennent à EntrepriseExemple
: EntrepriseExemple
, et internet (WAN, Elastic IPs, serveurs de noms de domaines et configuration du type route54). Comprends :
EntrepriseExemple
, et un réseau appartenant à une autre entrepriseEntrepriseExemple
, depuis internet, a maison, etc... inclue le work from home