Vytvoření vlastní role pro registraci služby Azure Stack Hub

  • Článek

Upozornění

Nejedná se o funkci stavu zabezpečení. Použijte ho ve scénářích, ve kterých chcete zabránit náhodným změnám předplatného Azure. Když má uživatel delegovaná práva k této vlastní roli, má oprávnění k úpravám a zvýšení oprávnění. Vlastní roli přiřaďte jenom uživatelům, kterým důvěřujete.

Během registrace služby Azure Stack Hub se musíte přihlásit pomocí účtu Microsoft Entra. Účet vyžaduje následující Microsoft Entra oprávnění a oprávnění předplatného Azure:

  • Oprávnění k registraci aplikací v tenantovi Microsoft Entra: Správci mají oprávnění k registraci aplikací. Oprávnění pro uživatele je globální nastavení pro všechny uživatele v tenantovi. Pokud chcete toto nastavení zobrazit nebo změnit, přečtěte si téma Vytvoření aplikace Microsoft Entra a instančního objektu, které mají přístup k prostředkům.

    Pokud chcete povolit uživatelskému účtu registraci služby Azure Stack Hub, musí být nastavení Uživatel může registrovat aplikace nastaveno na Ano . Pokud je nastavení registrace aplikací nastavené na Ne, nemůžete k registraci služby Azure Stack Hub použít uživatelský účet – musíte použít účet globálního správce.

  • Sada dostatečných oprávnění k předplatnému Azure: Uživatelé, kteří patří do role vlastníka, mají dostatečná oprávnění. U jiných účtů můžete sadu oprávnění přiřadit přiřazením vlastní role, jak je popsáno v následujících částech.

Místo použití účtu, který má v předplatném Azure oprávnění vlastníka, můžete vytvořit vlastní roli pro přiřazení oprávnění k uživatelskému účtu s méně oprávněními. Tento účet pak můžete použít k registraci služby Azure Stack Hub.

Vytvoření vlastní role pomocí PowerShellu

Chcete-li vytvořit vlastní roli, musíte mít Microsoft.Authorization/roleDefinitions/write oprávnění pro všechny AssignableScopes, jako je vlastník nebo správce uživatelských přístupů. Pokud chcete zjednodušit vytváření vlastní role, použijte následující šablonu JSON. Šablona vytvoří vlastní roli, která umožňuje požadovaný přístup ke čtení a zápisu pro registraci služby Azure Stack Hub.

  1. Vytvořte soubor JSON. Například, C:\CustomRoles\registrationrole.json.

  2. Přidejte do souboru následující kód JSON. <SubscriptionID> nahraďte ID vašeho předplatného Azure.

    {
  "Name": "Azure Stack Hub registration role",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows access to register Azure Stack Hub",
  "Actions": [
    "Microsoft.Resources/subscriptions/resourceGroups/write",
    "Microsoft.Resources/subscriptions/resourceGroups/read",
    "Microsoft.AzureStack/registrations/*",
    "Microsoft.AzureStack/register/action",
    "Microsoft.Authorization/roleAssignments/read",
    "Microsoft.Authorization/roleAssignments/write",
    "Microsoft.Authorization/roleAssignments/delete",
    "Microsoft.Authorization/permissions/read",
    "Microsoft.Authorization/locks/read",
    "Microsoft.Authorization/locks/write"
  ],
  "NotActions": [
  ],
  "AssignableScopes": [
    "/subscriptions/<SubscriptionID>"
  ]
}

  3. V PowerShellu se připojte k Azure a použijte Azure Resource Manager. Po zobrazení výzvy proveďte ověření pomocí účtu s dostatečnými oprávněními, jako je vlastník nebo správce uživatelských přístupů.

    Connect-AzAccount

  4. Pokud chcete vytvořit vlastní roli, použijte New-AzRoleDefinition určující soubor šablony JSON.

    New-AzRoleDefinition -InputFile "C:\CustomRoles\registrationrole.json"

Přiřazení role registrace uživatele

Po vytvoření vlastní role registrace přiřaďte roli uživatelskému účtu, který se použije k registraci služby Azure Stack Hub.

  1. Přihlaste se pomocí účtu s dostatečným oprávněním k předplatnému Azure, abyste mohli delegovat práva – například vlastníka nebo správce uživatelských přístupů.

  2. V části Předplatná vyberte Řízení přístupu (IAM) > Přidat přiřazení role.

  3. V části Role zvolte vlastní roli, kterou jste vytvořili: Registrační role služby Azure Stack Hub.

  4. Vyberte uživatele, které chcete přiřadit k roli.

  5. Vyberte Uložit a přiřaďte vybrané uživatele k roli.

    Vyberte uživatele, kteří se mají přiřadit k vlastní roli v Azure Portal

Další informace o používání vlastních rolí najdete v tématu Správa přístupu pomocí RBAC a Azure Portal.

Další kroky

Registrace služby Azure Stack Hub v Azure