Compartilhar via


Criar uma função personalizada para o registro do Azure Stack Hub

Aviso

Esse não é um recurso de postura de segurança. Use-o em cenários em que você deseja restrições para evitar alterações acidentais na Assinatura do Azure. Quando um usuário recebe direitos delegados a essa função personalizada, o usuário tem direitos para editar permissões e elevar direitos. Atribua apenas usuários em quem você confia à função personalizada.

Durante o registro do Azure Stack Hub, você deve entrar com uma conta do Microsoft Entra. A conta requer as seguintes permissões do Microsoft Entra e permissões de Assinatura do Azure:

  • Permissões de registro de aplicativo em seu locatário do Microsoft Entra: os administradores têm permissões de registro de aplicativo. A permissão para usuários é uma configuração global para todos os usuários no locatário. Para exibir ou alterar a configuração, consulte criar um aplicativo e uma entidade de serviço do Microsoft Entra que possa acessar recursos.

    A configuração do usuário pode registrar aplicativos deve ser definida como Sim para que você habilite uma conta de usuário para registrar o Azure Stack Hub.

  • Um conjunto de permissões suficientes de Assinatura do Azure: os usuários que pertencem à função Proprietário têm permissões suficientes. Para outras contas, você pode atribuir o conjunto de permissões atribuindo uma função personalizada, conforme descrito nas seções a seguir.

Em vez de usar uma conta que tenha permissões de Proprietário na assinatura do Azure, você pode criar uma função personalizada para atribuir permissões a uma conta de usuário com menos privilégios. Essa conta pode ser usada para registrar seu Azure Stack Hub.

Criar uma função personalizada usando o PowerShell

Para criar uma função personalizada, você precisa ter a permissão Microsoft.Authorization/roleDefinitions/write em todo AssignableScopes, como Proprietário ou Administrador de Acesso de Usuário. Use o modelo JSON a seguir para simplificar a criação da função personalizada. O modelo cria uma função personalizada que permite o acesso de leitura e gravação necessário para o registro do Azure Stack Hub.

  1. Crie um arquivo JSON. Por exemplo, C:\CustomRoles\registrationrole.json.

  2. Adicione o seguinte JSON ao arquivo. Substitua <SubscriptionID> por sua ID da assinatura do Azure.

    {
      "Name": "Azure Stack Hub registration role",
      "Id": null,
      "IsCustom": true,
      "Description": "Allows access to register Azure Stack Hub",
      "Actions": [
        "Microsoft.Resources/subscriptions/resourceGroups/write",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.AzureStack/registrations/*",
        "Microsoft.AzureStack/register/action",
        "Microsoft.Authorization/roleAssignments/read",
        "Microsoft.Authorization/roleAssignments/write",
        "Microsoft.Authorization/roleAssignments/delete",
        "Microsoft.Authorization/permissions/read",
        "Microsoft.Authorization/locks/read",
        "Microsoft.Authorization/locks/write"
      ],
      "NotActions": [
      ],
      "AssignableScopes": [
        "/subscriptions/<SubscriptionID>"
      ]
    }
    
  3. No PowerShell, conecte-se ao Azure para usar o Azure Resource Manager. Quando solicitado, autentique usando uma conta com permissões suficientes, como Proprietário ou Administrador de Acesso do Usuário.

    Connect-AzAccount
    
  4. Para criar a função personalizada, use New-AzRoleDefinition especificando o arquivo de modelo JSON.

    New-AzRoleDefinition -InputFile "C:\CustomRoles\registrationrole.json"
    

Atribuir um usuário à função de registro

Depois que a função personalizada de registro for criada, atribua a função à conta de usuário que será usada para registrar o Azure Stack Hub.

  1. Entre com a conta com permissão suficiente na assinatura do Azure para delegar direitos, como Proprietário ou Administrador de Acesso do Usuário.

  2. Em Assinaturas, selecione Controle de acesso (IAM) > Adicionar atribuição de função.

  3. Em Função, escolha a função personalizada que você criou: Função de registro do Azure Stack Hub.

  4. Selecione os usuários que você deseja atribuir à função.

  5. Selecione Salvar para atribuir os usuários selecionados à função.

    Selecionar usuários para atribuir à função personalizada no portal do Azure

Para obter mais informações sobre como usar funções personalizadas, consulte gerenciar o acesso usando o RBAC e o portal do Azure.

Próximas etapas

Registrar o Azure Stack Hub com o Azure