Azure Stack Hub 등록에 대한 사용자 지정 역할 만들기
Warning
이 기능은 보안 상태 기능이 아닙니다. Azure 구독에 대한 우발적인 변경을 방지하기 위해 제약 조건을 원하는 시나리오에서 사용합니다. 사용자에게 이 사용자 지정 역할에 대한 권한이 위임되면 사용자는 권한을 편집하고 권한을 상승시킬 수 있는 권한을 갖습니다. 신뢰할 수 있는 사용자만 사용자 지정 역할에 할당합니다.
Azure Stack Hub를 등록하는 동안 Microsoft Entra 계정으로 로그인해야 합니다. 계정에는 다음 Microsoft Entra 권한 및 Azure 구독 권한이 필요합니다.
Microsoft Entra 테넌트에서 앱 등록 권한: 관리자에게 앱 등록 권한이 있습니다. 사용자에 대한 권한은 테넌트에 있는 모든 사용자에 대한 전역 설정입니다. 설정을 보거나 변경하려면 리소스에 액세스할 수 있는 Microsoft Entra 앱 및 서비스 주체 만들기를 참조 하세요.
사용자 계정이 Azure Stack Hub를 등록할 수 있도록 하려면 사용자가 애플리케이션 설정을 예로 설정해야 등록할 수 있습니다.
충분한 Azure 구독 권한 집합: 소유자 역할에 속한 사용자에게는 충분한 권한이 있습니다. 다른 계정의 경우 다음 섹션에 설명된 대로 사용자 지정 역할을 할당하여 사용 권한 집합을 할당할 수 있습니다.
Azure 구독에서 소유자 권한이 있는 계정을 사용하는 대신 권한이 낮은 사용자 계정에 권한을 할당하는 사용자 지정 역할을 만들 수 있습니다. 그런 다음 이 계정을 사용하여 Azure Stack Hub를 등록할 수 있습니다.
PowerShell을 사용하여 사용자 지정 역할 만들기
사용자 지정 역할을 만들려면 소유자 또는 사용자 액세스 관리자와 같이 모든 AssignableScopes
에 대한 Microsoft.Authorization/roleDefinitions/write
권한이 있어야 합니다. 다음 JSON 템플릿을 사용하여 사용자 지정 역할 만들기를 간소화합니다. 템플릿은 Azure Stack Hub 등록에 필요한 읽기 및 쓰기 액세스를 허용하는 사용자 지정 역할을 만듭니다.
JSON 파일을 만듭니다. 예들 들어
C:\CustomRoles\registrationrole.json
입니다.파일에 다음 JSON을 추가합니다.
<SubscriptionID>
를 Azure 구독 ID로 바꿉니다.{ "Name": "Azure Stack Hub registration role", "Id": null, "IsCustom": true, "Description": "Allows access to register Azure Stack Hub", "Actions": [ "Microsoft.Resources/subscriptions/resourceGroups/write", "Microsoft.Resources/subscriptions/resourceGroups/read", "Microsoft.AzureStack/registrations/*", "Microsoft.AzureStack/register/action", "Microsoft.Authorization/roleAssignments/read", "Microsoft.Authorization/roleAssignments/write", "Microsoft.Authorization/roleAssignments/delete", "Microsoft.Authorization/permissions/read", "Microsoft.Authorization/locks/read", "Microsoft.Authorization/locks/write" ], "NotActions": [ ], "AssignableScopes": [ "/subscriptions/<SubscriptionID>" ] }
PowerShell에서 Azure Resource Manager를 사용하도록 Azure에 연결합니다. 메시지가 표시되면 소유자 또는 사용자 액세스 관리자와 같은 충분한 권한이 있는 계정을 사용하여 인증합니다.
Connect-AzAccount
사용자 지정 역할을 만들려면 JSON 템플릿 파일을 지정하는 New-AzRoleDefinition을 사용합니다.
New-AzRoleDefinition -InputFile "C:\CustomRoles\registrationrole.json"
등록 역할에 사용자 할당
등록 사용자 지정 역할을 만든 후 Azure Stack Hub 등록에 사용할 사용자 계정에 역할을 할당합니다.
소유자 또는 사용자 액세스 관리자와 같은 권한을 위임하기 위해 Azure 구독에 대한 충분한 권한이 있는 계정으로 로그인합니다.
구독에서 액세스 제어(IAM) > 역할 할당 추가를 선택합니다.
역할에서 만든 사용자 지정 역할인 Azure Stack Hub 등록 역할을 선택합니다.
역할에 할당할 사용자를 선택합니다.
[저장]을 선택하여 선택한 사용자를 역할에 할당합니다.
사용자 지정 역할 사용에 대한 자세한 내용은 RBAC 및 Azure Portal을 사용하여 액세스 관리를 참조하세요.