다음을 통해 공유


Azure Stack Hub 등록에 대한 사용자 지정 역할 만들기

Warning

이 기능은 보안 상태 기능이 아닙니다. Azure 구독에 대한 우발적인 변경을 방지하기 위해 제약 조건을 원하는 시나리오에서 사용합니다. 사용자에게 이 사용자 지정 역할에 대한 권한이 위임되면 사용자는 권한을 편집하고 권한을 상승시킬 수 있는 권한을 갖습니다. 신뢰할 수 있는 사용자만 사용자 지정 역할에 할당합니다.

Azure Stack Hub를 등록하는 동안 Microsoft Entra 계정으로 로그인해야 합니다. 계정에는 다음 Microsoft Entra 권한 및 Azure 구독 권한이 필요합니다.

  • Microsoft Entra 테넌트에서 앱 등록 권한: 관리자에게 앱 등록 권한이 있습니다. 사용자에 대한 권한은 테넌트에 있는 모든 사용자에 대한 전역 설정입니다. 설정을 보거나 변경하려면 리소스에 액세스할 수 있는 Microsoft Entra 앱 및 서비스 주체 만들기를 참조 하세요.

    사용자 계정이 Azure Stack Hub를 등록할 수 있도록 하려면 사용자가 애플리케이션 설정을 예로 설정해야 등록할 수 있습니다.

  • 충분한 Azure 구독 권한 집합: 소유자 역할에 속한 사용자에게는 충분한 권한이 있습니다. 다른 계정의 경우 다음 섹션에 설명된 대로 사용자 지정 역할을 할당하여 사용 권한 집합을 할당할 수 있습니다.

Azure 구독에서 소유자 권한이 있는 계정을 사용하는 대신 권한이 낮은 사용자 계정에 권한을 할당하는 사용자 지정 역할을 만들 수 있습니다. 그런 다음 이 계정을 사용하여 Azure Stack Hub를 등록할 수 있습니다.

PowerShell을 사용하여 사용자 지정 역할 만들기

사용자 지정 역할을 만들려면 소유자 또는 사용자 액세스 관리자와 같이 모든 AssignableScopes에 대한 Microsoft.Authorization/roleDefinitions/write 권한이 있어야 합니다. 다음 JSON 템플릿을 사용하여 사용자 지정 역할 만들기를 간소화합니다. 템플릿은 Azure Stack Hub 등록에 필요한 읽기 및 쓰기 액세스를 허용하는 사용자 지정 역할을 만듭니다.

  1. JSON 파일을 만듭니다. 예들 들어 C:\CustomRoles\registrationrole.json입니다.

  2. 파일에 다음 JSON을 추가합니다. <SubscriptionID>를 Azure 구독 ID로 바꿉니다.

    {
      "Name": "Azure Stack Hub registration role",
      "Id": null,
      "IsCustom": true,
      "Description": "Allows access to register Azure Stack Hub",
      "Actions": [
        "Microsoft.Resources/subscriptions/resourceGroups/write",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.AzureStack/registrations/*",
        "Microsoft.AzureStack/register/action",
        "Microsoft.Authorization/roleAssignments/read",
        "Microsoft.Authorization/roleAssignments/write",
        "Microsoft.Authorization/roleAssignments/delete",
        "Microsoft.Authorization/permissions/read",
        "Microsoft.Authorization/locks/read",
        "Microsoft.Authorization/locks/write"
      ],
      "NotActions": [
      ],
      "AssignableScopes": [
        "/subscriptions/<SubscriptionID>"
      ]
    }
    
  3. PowerShell에서 Azure Resource Manager를 사용하도록 Azure에 연결합니다. 메시지가 표시되면 소유자 또는 사용자 액세스 관리자와 같은 충분한 권한이 있는 계정을 사용하여 인증합니다.

    Connect-AzAccount
    
  4. 사용자 지정 역할을 만들려면 JSON 템플릿 파일을 지정하는 New-AzRoleDefinition을 사용합니다.

    New-AzRoleDefinition -InputFile "C:\CustomRoles\registrationrole.json"
    

등록 역할에 사용자 할당

등록 사용자 지정 역할을 만든 후 Azure Stack Hub 등록에 사용할 사용자 계정에 역할을 할당합니다.

  1. 소유자 또는 사용자 액세스 관리자와 같은 권한을 위임하기 위해 Azure 구독에 대한 충분한 권한이 있는 계정으로 로그인합니다.

  2. 구독에서 액세스 제어(IAM) > 역할 할당 추가를 선택합니다.

  3. 역할에서 만든 사용자 지정 역할인 Azure Stack Hub 등록 역할을 선택합니다.

  4. 역할에 할당할 사용자를 선택합니다.

  5. [저장]을 선택하여 선택한 사용자를 역할에 할당합니다.

    Azure Portal에서 사용자 지정 역할에 할당할 사용자 선택

사용자 지정 역할 사용에 대한 자세한 내용은 RBAC 및 Azure Portal을 사용하여 액세스 관리를 참조하세요.

다음 단계

Azure에 Azure Stack Hub 등록