Share via

Erstellen einer benutzerdefinierten Rolle für die Azure Stack Hub-Registrierung

  • Artikel

Warnung

Dies ist keine Sicherheitsstatusfunktion. Wenden Sie sie in Szenarien an, in denen Sie Einschränkungen benötigen, um versehentliche Änderungen am Azure-Abonnement zu verhindern. Wenn einem Benutzer die Rechte für diese benutzerdefinierte Rolle delegiert werden, hat der Benutzer die Rechte zum Bearbeiten von Berechtigungen und zum Erhöhen von Rechten. Weisen Sie sie daher nur Benutzern zu, denen Sie für die benutzerdefinierte Rolle vertrauen.

Während der Azure Stack Hub-Registrierung müssen Sie sich mit einem Microsoft Entra-Konto anmelden. Das Konto erfordert die folgenden Microsoft Entra-Berechtigungen und Azure-Abonnementberechtigungen:

  • App-Registrierungsberechtigungen in Ihrem Microsoft Entra Mandanten: Administratoren verfügen über App-Registrierungsberechtigungen. Die Berechtigung für Benutzer ist eine globale Einstellung für alle Benutzer im Mandanten. Informationen zum Anzeigen oder Ändern der Einstellung finden Sie unter Erstellen einer Microsoft Entra-App und eines Dienstprinzipals, die auf Ressourcen zugreifen können.

    Die Einstellung Benutzer kann Anwendungen registrieren muss auf Ja festgelegt sein, damit Sie ein Benutzerkonto zum Registrieren von Azure Stack Hub aktivieren können. Wenn die App-Registrierungseinstellung auf Nein festgelegt ist, können Sie kein Benutzerkonto zum Registrieren von Azure Stack Hub verwenden, sondern müssen stattdessen ein globales Administratorkonto verwenden.

  • Ein Satz ausreichender Azure-Abonnementberechtigungen: Benutzer, die über die Rolle „Besitzer“ verfügen, haben ausreichende Berechtigungen. Für andere Konten können Sie den Berechtigungssatz festlegen, indem Sie eine benutzerdefinierte Rolle zuweisen, wie in den folgenden Abschnitten beschrieben.

Anstatt ein Konto zu verwenden, das unter dem Azure-Abonnement über Berechtigungen vom Typ „Besitzer“ verfügt, können Sie eine benutzerdefinierte Rolle erstellen, um einem weniger privilegierten Benutzerkonto Berechtigungen zuzuweisen. Dieses Konto kann dann verwendet werden, um Ihre Azure Stack Hub-Instanz zu registrieren.

Erstellen einer benutzerdefinierten Rolle mithilfe von PowerShell

Um eine benutzerdefinierte Rolle zu erstellen, benötigen Sie die Microsoft.Authorization/roleDefinitions/write-Berechtigung für alle AssignableScopes, wie z.B. Besitzer oder Benutzerzugriffsadministrator. Verwenden Sie die folgende JSON-Vorlage, um die Erstellung der benutzerdefinierten Rolle zu vereinfachen. Die Vorlage erstellt eine benutzerdefinierte Rolle, die den erforderlichen Lese- und Schreibzugriff für die Azure Stack Hub-Registrierung ermöglicht.

  1. Erstellen Sie eine JSON-Datei. Beispiel: C:\CustomRoles\registrationrole.json.

  2. Fügen Sie der Datei den folgenden JSON-Code hinzu. Ersetzen Sie <SubscriptionID> durch Ihre Azure-Abonnement-ID.

    {
  "Name": "Azure Stack Hub registration role",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows access to register Azure Stack Hub",
  "Actions": [
    "Microsoft.Resources/subscriptions/resourceGroups/write",
    "Microsoft.Resources/subscriptions/resourceGroups/read",
    "Microsoft.AzureStack/registrations/*",
    "Microsoft.AzureStack/register/action",
    "Microsoft.Authorization/roleAssignments/read",
    "Microsoft.Authorization/roleAssignments/write",
    "Microsoft.Authorization/roleAssignments/delete",
    "Microsoft.Authorization/permissions/read",
    "Microsoft.Authorization/locks/read",
    "Microsoft.Authorization/locks/write"
  ],
  "NotActions": [
  ],
  "AssignableScopes": [
    "/subscriptions/<SubscriptionID>"
  ]
}

  3. Stellen Sie in PowerShell eine Verbindung mit Azure her, damit Sie Azure Resource Manager verwenden können. Authentifizieren Sie sich bei Aufforderung mit einem Konto mit ausreichenden Berechtigungen, z.B. Besitzer oder Benutzerzugriffsadministrator.

    Connect-AzAccount

  4. Verwenden Sie New-AzRoleDefinition zum Erstellen der benutzerdefinierten Rolle, indem Sie die JSON-Vorlagendatei angeben.

    New-AzRoleDefinition -InputFile "C:\CustomRoles\registrationrole.json"

Zuweisen eines Benutzers zur Registrierungsrolle

Nachdem die benutzerdefinierte Rolle für die Registrierung erstellt wurde, können Sie die Rolle dem Benutzerkonto zuweisen, das zum Registrieren von Azure Stack Hub verwendet wird.

  1. Melden Sie sich mit einem Konto mit ausreichenden Berechtigungen beim Azure-Abonnement an, und delegieren Sie Rechte wie Besitzer oder Benutzerzugriffsadministrator.

  2. Wählen Sie unter Abonnements die Option Zugriffssteuerung (IAM) > Rollenzuweisung hinzufügen aus.

  3. Wählen Sie in Rolle die von Ihnen erstellte benutzerdefinierte Rolle aus: Rolle für die Azure Stack Hub-Registrierung

  4. Wählen Sie die Benutzer aus, die Sie der Rolle zuweisen möchten.

  5. Wählen Sie Speichern aus, um der Rolle die ausgewählten Benutzer zuzuweisen.

    Wählen Sie Benutzer aus, die der benutzerdefinierten Rolle im Azure-Portal zugewiesen werden sollen.

Weitere Informationen zur Verwendung benutzerdefinierter Rollen finden Sie unter Verwalten des Zugriffs mithilfe von RBAC und des Azure-Portals.

Nächste Schritte

Registrieren von Azure Stack Hub in Azure