Vytvoření vlastní role pro registraci služby Azure Stack Hub
Upozorňující
Nejedná se o funkci stavu zabezpečení. Použijte ho ve scénářích, ve kterých chcete zabránit náhodným změnám předplatného Azure. Pokud má uživatel delegovaná práva k této vlastní roli, má uživatel práva k úpravám oprávnění a zvýšení oprávnění. Přiřaďte jenom uživatele, kterým důvěřujete, k vlastní roli.
Během registrace služby Azure Stack Hub se musíte přihlásit pomocí účtu Microsoft Entra. Účet vyžaduje následující oprávnění Microsoft Entra a oprávnění předplatného Azure:
Oprávnění registrace aplikace ve vašem tenantovi Microsoft Entra: Správci mají oprávnění k registraci aplikací. Oprávnění pro uživatele je globální nastavení pro všechny uživatele v tenantovi. Pokud chcete toto nastavení zobrazit nebo změnit, přečtěte si článek vytvoření aplikace Microsoft Entra a instančního objektu, který má přístup k prostředkům.
Aby uživatel mohl zaregistrovat službu Azure Stack Hub, musí být nastavena na ano .
Sada dostatečných oprávnění předplatného Azure: Uživatelé, kteří patří do role Vlastník, mají dostatečná oprávnění. U jiných účtů můžete přiřadit sadu oprávnění přiřazením vlastní role, jak je uvedeno v následujících částech.
Místo použití účtu s oprávněními vlastníka v předplatném Azure můžete vytvořit vlastní roli pro přiřazení oprávnění k méně privilegovanému uživatelskému účtu. Tento účet pak můžete použít k registraci služby Azure Stack Hub.
Vytvoření vlastní role pomocí PowerShellu
Pokud chcete vytvořit vlastní roli, musíte mít Microsoft.Authorization/roleDefinitions/write oprávnění ke všem AssignableScopes, jako je vlastník nebo správce uživatelských přístupů. Pomocí následující šablony JSON zjednodušte vytváření vlastní role. Šablona vytvoří vlastní roli, která umožňuje požadovaný přístup ke čtení a zápisu pro registraci služby Azure Stack Hub.
Vytvořte soubor JSON. Například
C:\CustomRoles\registrationrole.json.Přidejte do souboru následující kód JSON.
<SubscriptionID>nahraďte ID vašeho předplatného Azure.{ "Name": "Azure Stack Hub registration role", "Id": null, "IsCustom": true, "Description": "Allows access to register Azure Stack Hub", "Actions": [ "Microsoft.Resources/subscriptions/resourceGroups/write", "Microsoft.Resources/subscriptions/resourceGroups/read", "Microsoft.AzureStack/registrations/*", "Microsoft.AzureStack/register/action", "Microsoft.Authorization/roleAssignments/read", "Microsoft.Authorization/roleAssignments/write", "Microsoft.Authorization/roleAssignments/delete", "Microsoft.Authorization/permissions/read", "Microsoft.Authorization/locks/read", "Microsoft.Authorization/locks/write" ], "NotActions": [ ], "AssignableScopes": [ "/subscriptions/<SubscriptionID>" ] }V PowerShellu se připojte k Azure a použijte Azure Resource Manager. Po zobrazení výzvy se ověřte pomocí účtu s dostatečnými oprávněními, jako je vlastník nebo správce uživatelských přístupů.
Connect-AzAccountK vytvoření vlastní role použijte New-AzRoleDefinition určující soubor šablony JSON.
New-AzRoleDefinition -InputFile "C:\CustomRoles\registrationrole.json"
Přiřazení uživatele k registrační roli
Po vytvoření vlastní role registrace přiřaďte roli k uživatelskému účtu, který se použije k registraci služby Azure Stack Hub.
Přihlaste se pomocí účtu s dostatečným oprávněním k předplatnému Azure pro delegování práv, jako je vlastník nebo správce uživatelských přístupů.
V předplatných vyberte Řízení přístupu (IAM) > Přidat přiřazení role.
V části Role zvolte vlastní roli, kterou jste vytvořili: registrační role služby Azure Stack Hub.
Vyberte uživatele, které chcete přiřadit k roli.
Výběrem možnosti Uložit přiřaďte vybrané uživatele k roli.
Další informace o používání vlastních rolí najdete v tématu správa přístupu pomocí RBAC a webu Azure Portal.