Tworzenie roli niestandardowej na potrzeby rejestracji w usłudze Azure Stack Hub
Ostrzeżenie
To nie jest funkcja dotycząca podejścia do zabezpieczeń. Użyj go w scenariuszach, w których chcesz, aby ograniczenia zapobiegały przypadkowym zmianom subskrypcji platformy Azure. Gdy użytkownik ma delegowane prawa do tej roli niestandardowej, użytkownik ma uprawnienia do edytowania uprawnień i podniesienia uprawnień. Przypisz tylko zaufanych użytkowników do roli niestandardowej.
Podczas rejestracji usługi Azure Stack Hub musisz zalogować się przy użyciu konta Microsoft Entra. Konto wymaga następujących uprawnień firmy Microsoft Entra i uprawnień subskrypcji platformy Azure:
Uprawnienia rejestracji aplikacji w dzierżawie firmy Microsoft Entra: Administratorzy mają uprawnienia do rejestracji aplikacji. Zezwolenie dla użytkowników jest ustawieniem globalnym dla wszystkich użytkowników w ramach dzierżawy. Aby wyświetlić lub zmienić ustawienie, zobacz Tworzenie aplikacji Entra firmy Microsoft i jednostki usługi, która może uzyskiwać dostęp do zasobów.
Ustawienie umożliwiające rejestrację aplikacji przez użytkownika musi mieć wartość Tak, aby umożliwić włączenie konta użytkownika do rejestracji usługi Azure Stack Hub.
Zestaw wystarczających uprawnień subskrypcji platformy Azure: użytkownicy należący do roli Właściciel mają wystarczające uprawnienia. Dla innych kont możesz przypisać zestaw uprawnień, nadając rolę niestandardową zgodnie z opisem w poniższych sekcjach.
Zamiast używać konta z uprawnieniami właściciela w subskrypcji platformy Azure, możesz utworzyć rolę niestandardową, aby przypisać uprawnienia do konta użytkownika z mniejszymi uprawnieniami. Tego konta można następnie użyć do zarejestrowania usługi Azure Stack Hub.
Tworzenie roli niestandardowej przy użyciu programu PowerShell
Aby utworzyć rolę niestandardową, musisz mieć uprawnienie Microsoft.Authorization/roleDefinitions/write do wszystkich AssignableScopes, takich jak Właściciel lub Administrator dostępu użytkowników. Użyj następującego szablonu JSON, aby uprościć tworzenie roli niestandardowej. Szablon tworzy rolę niestandardową, która umożliwia wymagany dostęp do odczytu i zapisu na potrzeby rejestracji w usłudze Azure Stack Hub.
Utwórz plik JSON. Na przykład
C:\CustomRoles\registrationrole.json.Dodaj do pliku następujący kod JSON. Zamień wartość
<SubscriptionID>na identyfikator swojej subskrypcji platformy Azure.{ "Name": "Azure Stack Hub registration role", "Id": null, "IsCustom": true, "Description": "Allows access to register Azure Stack Hub", "Actions": [ "Microsoft.Resources/subscriptions/resourceGroups/write", "Microsoft.Resources/subscriptions/resourceGroups/read", "Microsoft.AzureStack/registrations/*", "Microsoft.AzureStack/register/action", "Microsoft.Authorization/roleAssignments/read", "Microsoft.Authorization/roleAssignments/write", "Microsoft.Authorization/roleAssignments/delete", "Microsoft.Authorization/permissions/read", "Microsoft.Authorization/locks/read", "Microsoft.Authorization/locks/write" ], "NotActions": [ ], "AssignableScopes": [ "/subscriptions/<SubscriptionID>" ] }W programie PowerShell połącz się z platformą Azure, aby użyć usługi Azure Resource Manager. Po wyświetleniu monitu uwierzytelnij się przy użyciu konta z odpowiednimi uprawnieniami, takimi jak Właściciel lub Administrator dostępu użytkowników.
Connect-AzAccountAby utworzyć rolę niestandardową, użyj polecenia New-AzRoleDefinition określając plik szablonu JSON.
New-AzRoleDefinition -InputFile "C:\CustomRoles\registrationrole.json"
Przypisywanie użytkownika do roli rejestracji
Po utworzeniu niestandardowej roli do rejestracji przypisz ją do konta użytkownika, które będzie używane do rejestrowania w Azure Stack Hub.
Zaloguj się przy użyciu konta z wystarczającym uprawnieniem w subskrypcji platformy Azure, aby delegować prawa — takie jak właściciel lub administrator dostępu użytkowników.
W obszarze Subskrypcje wybierz pozycję Kontrola dostępu (IAM) > Dodaj przypisanie roli.
W obszarze Rola wybierz utworzoną rolę niestandardową: rolę rejestracji usługi Azure Stack Hub.
Wybierz użytkowników, którzy mają zostać przypisani do roli.
Wybierz pozycję Zapisz , aby przypisać wybranych użytkowników do roli.
Aby uzyskać więcej informacji na temat korzystania z ról niestandardowych, zobacz Zarządzanie dostępem za pomocą kontroli dostępu opartej na rolach (RBAC) i portalu Azure.