Tworzenie roli niestandardowej na potrzeby rejestracji w usłudze Azure Stack Hub
Ostrzeżenie
Nie jest to funkcja stanu zabezpieczeń. Użyj go w scenariuszach, w których chcesz, aby ograniczenia zapobiegały przypadkowym zmianom subskrypcji platformy Azure. Gdy użytkownik ma delegowane prawa do tej roli niestandardowej, użytkownik ma uprawnienia do edytowania uprawnień i podniesienia uprawnień. Przypisz tylko zaufanych użytkowników do roli niestandardowej.
Podczas rejestracji usługi Azure Stack Hub musisz zalogować się przy użyciu konta Microsoft Entra. Konto wymaga następujących uprawnień firmy Microsoft Entra i uprawnień subskrypcji platformy Azure:
Uprawnienia rejestracji aplikacji w dzierżawie firmy Microsoft Entra: administratorzy mają uprawnienia rejestracji aplikacji. Uprawnienie dla użytkowników jest ustawieniem globalnym dla wszystkich użytkowników w dzierżawie. Aby wyświetlić lub zmienić ustawienie, zobacz Tworzenie aplikacji Entra firmy Microsoft i jednostki usługi, która może uzyskiwać dostęp do zasobów.
Użytkownik może zarejestrować ustawienia aplikacji musi mieć wartość Tak , aby umożliwić konto użytkownika zarejestrowanie usługi Azure Stack Hub.
Zestaw wystarczających uprawnień subskrypcji platformy Azure: użytkownicy należący do roli Właściciel mają wystarczające uprawnienia. W przypadku innych kont można przypisać zestaw uprawnień, przypisując rolę niestandardową zgodnie z opisem w poniższych sekcjach.
Zamiast używać konta z uprawnieniami właściciela w subskrypcji platformy Azure, możesz utworzyć rolę niestandardową, aby przypisać uprawnienia do konta użytkownika z mniejszymi uprawnieniami. Tego konta można następnie użyć do zarejestrowania usługi Azure Stack Hub.
Tworzenie roli niestandardowej przy użyciu programu PowerShell
Aby utworzyć rolę niestandardową, musisz mieć Microsoft.Authorization/roleDefinitions/write
uprawnienie do wszystkich AssignableScopes
elementów , takich jak Właściciel lub Administrator dostępu użytkowników. Użyj następującego szablonu JSON, aby uprościć tworzenie roli niestandardowej. Szablon tworzy rolę niestandardową, która umożliwia wymagany dostęp do odczytu i zapisu na potrzeby rejestracji w usłudze Azure Stack Hub.
Utwórz plik JSON. Na przykład
C:\CustomRoles\registrationrole.json
.Dodaj do pliku następujący kod JSON. Zamień wartość
<SubscriptionID>
na identyfikator swojej subskrypcji platformy Azure.{ "Name": "Azure Stack Hub registration role", "Id": null, "IsCustom": true, "Description": "Allows access to register Azure Stack Hub", "Actions": [ "Microsoft.Resources/subscriptions/resourceGroups/write", "Microsoft.Resources/subscriptions/resourceGroups/read", "Microsoft.AzureStack/registrations/*", "Microsoft.AzureStack/register/action", "Microsoft.Authorization/roleAssignments/read", "Microsoft.Authorization/roleAssignments/write", "Microsoft.Authorization/roleAssignments/delete", "Microsoft.Authorization/permissions/read", "Microsoft.Authorization/locks/read", "Microsoft.Authorization/locks/write" ], "NotActions": [ ], "AssignableScopes": [ "/subscriptions/<SubscriptionID>" ] }
W programie PowerShell połącz się z platformą Azure, aby użyć usługi Azure Resource Manager. Po wyświetleniu monitu uwierzytelnij się przy użyciu konta z odpowiednimi uprawnieniami, takimi jak Właściciel lub Administrator dostępu użytkowników.
Connect-AzAccount
Aby utworzyć rolę niestandardową, użyj polecenia New-AzRoleDefinition określając plik szablonu JSON.
New-AzRoleDefinition -InputFile "C:\CustomRoles\registrationrole.json"
Przypisywanie użytkownika do roli rejestracji
Po utworzeniu roli niestandardowej rejestracji przypisz rolę do konta użytkownika, które będzie używane do rejestrowania usługi Azure Stack Hub.
Zaloguj się przy użyciu konta z wystarczającym uprawnieniem w subskrypcji platformy Azure, aby delegować prawa — takie jak właściciel lub administrator dostępu użytkowników.
W obszarze Subskrypcje wybierz pozycję Kontrola dostępu (IAM) > Dodaj przypisanie roli.
W obszarze Rola wybierz utworzoną rolę niestandardową: rolę rejestracji usługi Azure Stack Hub.
Wybierz użytkowników, którzy mają zostać przypisani do roli.
Wybierz pozycję Zapisz , aby przypisać wybranych użytkowników do roli.
Aby uzyskać więcej informacji na temat korzystania z ról niestandardowych, zobacz Zarządzanie dostępem przy użyciu kontroli dostępu opartej na rolach i witrynie Azure Portal.