Создание пользовательской роли для регистрации Azure Stack Hub
Предупреждение
Это не функция, связанная с позицией по безопасности. Прибегайте к этому в тех случаях, когда вы хотите, чтобы ограничения предотвращали случайные изменения в подписке Azure. Когда пользователю делегируют права к этой настраиваемой роли, он получает права на изменение разрешений и повышение привилегий. Назначайте настраиваемую роль только тем пользователям, которым вы доверяете.
Во время регистрации Azure Stack Hub необходимо войти с помощью учетной записи Microsoft Entra. Для учетной записи требуются следующие разрешения Microsoft Entra и разрешения подписки Azure:
Разрешения на регистрацию приложений в клиенте Microsoft Entra: администраторы имеют разрешения на регистрацию приложений. Разрешение для пользователя — это глобальный параметр для всех пользователей в клиенте. Чтобы просмотреть или изменить параметры, см. раздел создание приложения Microsoft Entra и субъекта-службы, которые могут получить доступ к ресурсам.
Пользователь может регистрировать приложения. Параметру должно быть присвоено значение Да, чтобы разрешить учетной записи пользователя регистрировать Azure Stack Hub.
Набор достаточных разрешений подписки Azure: пользователи, принадлежащие роли владельца, имеют достаточные разрешения. Для других учетных записей вы можете присвоить набор разрешений, назначив настраиваемую роль, как описано в следующем разделе.
Вы можете создать пользовательскую роль (вместо использования учетной записи с правами владельца в подписке Azure) и с ее помощью назначить разрешения учетной записи пользователя с меньшими полномочиями. Эту учетную запись можно затем использовать для регистрации Azure Stack Hub.
Создание пользовательской роли с помощью PowerShell
Чтобы создать пользовательскую роль, нужно иметь разрешение Microsoft.Authorization/roleDefinitions/write для всех объектов AssignableScopes, таких как Владелец или Администратор доступа пользователей. Используйте следующий шаблон JSON, чтобы упростить создание пользовательской роли. Этот шаблон создает пользовательскую роль, которая дает требуемый доступ на чтение и запись для регистрации Azure Stack Hub.
Создайте файл JSON. Например,
C:\CustomRoles\registrationrole.json.Добавьте в файл следующий код JSON. Замените
<SubscriptionID>идентификатором своей подписки Azure.{ "Name": "Azure Stack Hub registration role", "Id": null, "IsCustom": true, "Description": "Allows access to register Azure Stack Hub", "Actions": [ "Microsoft.Resources/subscriptions/resourceGroups/write", "Microsoft.Resources/subscriptions/resourceGroups/read", "Microsoft.AzureStack/registrations/*", "Microsoft.AzureStack/register/action", "Microsoft.Authorization/roleAssignments/read", "Microsoft.Authorization/roleAssignments/write", "Microsoft.Authorization/roleAssignments/delete", "Microsoft.Authorization/permissions/read", "Microsoft.Authorization/locks/read", "Microsoft.Authorization/locks/write" ], "NotActions": [ ], "AssignableScopes": [ "/subscriptions/<SubscriptionID>" ] }В PowerShell подключитесь к Azure, чтобы использовать Azure Resource Manager. При поступлении запроса войдите в учетную запись с достаточными разрешениями, например владельца или администратора доступа пользователей.
Connect-AzAccountЧтобы создать пользовательскую роль, используйте New-AzRoleDefinition , указав файл шаблона JSON.
New-AzRoleDefinition -InputFile "C:\CustomRoles\registrationrole.json"
Назначить пользователя на роль регистрации
После создания пользовательской роли для регистрации назначьте ее учетной записи пользователя, которая будет использоваться для регистрации Azure Stack Hub.
Войдите, используя учетную запись с достаточным разрешением на подписку Azure, чтобы делегировать права, такие как Обладатель или Администратор доступа пользователей.
В подписках выберите контроль доступа (IAM) > Добавить назначение роли.
В роли выберите созданную пользовательскую роль: роль регистрации Azure Stack Hub.
Выберите пользователей, которых хотите назначить на роль.
Щелкните Сохранить, чтобы назначить выбранных пользователей роли.
Дополнительные сведения об использовании настраиваемых ролей см. в статье Управление доступом с помощью RBAC и портала Azure.