Udostępnij za pośrednictwem


Tworzenie roli niestandardowej na potrzeby rejestracji w usłudze Azure Stack Hub

Ostrzeżenie

Nie jest to funkcja stanu zabezpieczeń. Użyj go w scenariuszach, w których chcesz, aby ograniczenia zapobiegały przypadkowym zmianom subskrypcji platformy Azure. Gdy użytkownik ma delegowane prawa do tej roli niestandardowej, użytkownik ma uprawnienia do edytowania uprawnień i podniesienia uprawnień. Przypisz tylko zaufanych użytkowników do roli niestandardowej.

Podczas rejestracji usługi Azure Stack Hub musisz zalogować się przy użyciu konta Microsoft Entra. Konto wymaga następujących uprawnień firmy Microsoft Entra i uprawnień subskrypcji platformy Azure:

  • Uprawnienia rejestracji aplikacji w dzierżawie firmy Microsoft Entra: administratorzy mają uprawnienia rejestracji aplikacji. Uprawnienie dla użytkowników jest ustawieniem globalnym dla wszystkich użytkowników w dzierżawie. Aby wyświetlić lub zmienić ustawienie, zobacz Tworzenie aplikacji Entra firmy Microsoft i jednostki usługi, która może uzyskiwać dostęp do zasobów.

    Użytkownik może zarejestrować ustawienia aplikacji musi mieć wartość Tak , aby umożliwić konto użytkownika zarejestrowanie usługi Azure Stack Hub.

  • Zestaw wystarczających uprawnień subskrypcji platformy Azure: użytkownicy należący do roli Właściciel mają wystarczające uprawnienia. W przypadku innych kont można przypisać zestaw uprawnień, przypisując rolę niestandardową zgodnie z opisem w poniższych sekcjach.

Zamiast używać konta z uprawnieniami właściciela w subskrypcji platformy Azure, możesz utworzyć rolę niestandardową, aby przypisać uprawnienia do konta użytkownika z mniejszymi uprawnieniami. Tego konta można następnie użyć do zarejestrowania usługi Azure Stack Hub.

Tworzenie roli niestandardowej przy użyciu programu PowerShell

Aby utworzyć rolę niestandardową, musisz mieć Microsoft.Authorization/roleDefinitions/write uprawnienie do wszystkich AssignableScopeselementów , takich jak Właściciel lub Administrator dostępu użytkowników. Użyj następującego szablonu JSON, aby uprościć tworzenie roli niestandardowej. Szablon tworzy rolę niestandardową, która umożliwia wymagany dostęp do odczytu i zapisu na potrzeby rejestracji w usłudze Azure Stack Hub.

  1. Utwórz plik JSON. Na przykład C:\CustomRoles\registrationrole.json.

  2. Dodaj do pliku następujący kod JSON. Zamień wartość <SubscriptionID> na identyfikator swojej subskrypcji platformy Azure.

    {
      "Name": "Azure Stack Hub registration role",
      "Id": null,
      "IsCustom": true,
      "Description": "Allows access to register Azure Stack Hub",
      "Actions": [
        "Microsoft.Resources/subscriptions/resourceGroups/write",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.AzureStack/registrations/*",
        "Microsoft.AzureStack/register/action",
        "Microsoft.Authorization/roleAssignments/read",
        "Microsoft.Authorization/roleAssignments/write",
        "Microsoft.Authorization/roleAssignments/delete",
        "Microsoft.Authorization/permissions/read",
        "Microsoft.Authorization/locks/read",
        "Microsoft.Authorization/locks/write"
      ],
      "NotActions": [
      ],
      "AssignableScopes": [
        "/subscriptions/<SubscriptionID>"
      ]
    }
    
  3. W programie PowerShell połącz się z platformą Azure, aby użyć usługi Azure Resource Manager. Po wyświetleniu monitu uwierzytelnij się przy użyciu konta z odpowiednimi uprawnieniami, takimi jak Właściciel lub Administrator dostępu użytkowników.

    Connect-AzAccount
    
  4. Aby utworzyć rolę niestandardową, użyj polecenia New-AzRoleDefinition określając plik szablonu JSON.

    New-AzRoleDefinition -InputFile "C:\CustomRoles\registrationrole.json"
    

Przypisywanie użytkownika do roli rejestracji

Po utworzeniu roli niestandardowej rejestracji przypisz rolę do konta użytkownika, które będzie używane do rejestrowania usługi Azure Stack Hub.

  1. Zaloguj się przy użyciu konta z wystarczającym uprawnieniem w subskrypcji platformy Azure, aby delegować prawa — takie jak właściciel lub administrator dostępu użytkowników.

  2. W obszarze Subskrypcje wybierz pozycję Kontrola dostępu (IAM) > Dodaj przypisanie roli.

  3. W obszarze Rola wybierz utworzoną rolę niestandardową: rolę rejestracji usługi Azure Stack Hub.

  4. Wybierz użytkowników, którzy mają zostać przypisani do roli.

  5. Wybierz pozycję Zapisz , aby przypisać wybranych użytkowników do roli.

    Wybieranie użytkowników do przypisania do roli niestandardowej w witrynie Azure Portal

Aby uzyskać więcej informacji na temat korzystania z ról niestandardowych, zobacz Zarządzanie dostępem przy użyciu kontroli dostępu opartej na rolach i witrynie Azure Portal.

Następne kroki

Rejestrowanie usługi Azure Stack Hub na platformie Azure