Egyéni szerepkör létrehozása az Azure Stack Hub-regisztrációhoz

  • Cikk

Figyelmeztetés

Ez nem biztonsági helyzeti funkció. Olyan helyzetekben használja, ahol kényszereket szeretne használni az Azure-előfizetés véletlen módosításának megakadályozásához. Ha egy felhasználóhoz delegált jogosultságok vannak ehhez az egyéni szerepkörhöz, a felhasználó szerkesztési és jogosultságszint-emelási jogosultságokkal rendelkezik. Csak a megbízható felhasználókat rendelje hozzá az egyéni szerepkörhöz.

Az Azure Stack Hub regisztrációja során egy Microsoft Entra fiókkal kell bejelentkeznie. A fiókhoz a következő Microsoft Entra engedélyek és Azure-előfizetési engedélyek szükségesek:

  • Alkalmazásregisztrációs engedélyek a Microsoft Entra-bérlőben: A rendszergazdák alkalmazásregisztrációs engedélyekkel rendelkeznek. A felhasználókra vonatkozó engedély globális beállítás a bérlő összes felhasználója számára. A beállítás megtekintéséhez vagy módosításához tekintse meg az erőforrásokhoz hozzáférő Microsoft Entra alkalmazás és szolgáltatásnév létrehozását.

    A felhasználó regisztrálhat alkalmazásokat beállítást Igen értékre kell állítania ahhoz, hogy egy felhasználói fiók regisztrálhassa az Azure Stack Hubot. Ha az alkalmazásregisztrációk beállítása Nem, akkor nem használhat felhasználói fiókot az Azure Stack Hub regisztrálásához – globális rendszergazdai fiókot kell használnia.

  • Megfelelő Azure-előfizetési engedélyek készlete: A Tulajdonos szerepkörhöz tartozó felhasználók megfelelő engedélyekkel rendelkeznek. Más fiókok esetében az engedélykészlet hozzárendeléséhez rendeljen hozzá egy egyéni szerepkört az alábbi szakaszokban leírtak szerint.

Ahelyett, hogy tulajdonosi engedélyekkel rendelkező fiókot használ az Azure-előfizetésben, létrehozhat egy egyéni szerepkört, amellyel engedélyeket rendelhet egy kevésbé kiemelt jogosultságú felhasználói fiókhoz. Ezzel a fiókkal regisztrálhatja az Azure Stack Hubot.

Egyéni szerepkör létrehozása a PowerShell használatával

Egyéni szerepkör létrehozásához rendelkeznie kell az Microsoft.Authorization/roleDefinitions/write összes AssignableScopesengedélyével, például tulajdonossal vagy felhasználói hozzáférés-rendszergazdával. Az alábbi JSON-sablonnal egyszerűsítheti az egyéni szerepkör létrehozását. A sablon létrehoz egy egyéni szerepkört, amely lehetővé teszi az Azure Stack Hub-regisztrációhoz szükséges olvasási és írási hozzáférést.

  1. Hozzon létre egy JSON-fájlt. Például: C:\CustomRoles\registrationrole.json.

  2. Adja hozzá az alábbi JSON-kódot a fájlhoz. Cserélje le a <SubscriptionID> értékét a saját Azure-előfizetése azonosítójára.

    {
  "Name": "Azure Stack Hub registration role",
  "Id": null,
  "IsCustom": true,
  "Description": "Allows access to register Azure Stack Hub",
  "Actions": [
    "Microsoft.Resources/subscriptions/resourceGroups/write",
    "Microsoft.Resources/subscriptions/resourceGroups/read",
    "Microsoft.AzureStack/registrations/*",
    "Microsoft.AzureStack/register/action",
    "Microsoft.Authorization/roleAssignments/read",
    "Microsoft.Authorization/roleAssignments/write",
    "Microsoft.Authorization/roleAssignments/delete",
    "Microsoft.Authorization/permissions/read",
    "Microsoft.Authorization/locks/read",
    "Microsoft.Authorization/locks/write"
  ],
  "NotActions": [
  ],
  "AssignableScopes": [
    "/subscriptions/<SubscriptionID>"
  ]
}

  3. A PowerShellben csatlakozzon az Azure-hoz az Azure Resource Manager használatához. Amikor a rendszer kéri, végezze el a hitelesítést egy megfelelő engedélyekkel rendelkező fiókkal, például tulajdonossal vagy felhasználói hozzáférés-rendszergazdával.

    Connect-AzAccount

  4. Az egyéni szerepkör létrehozásához használja a New-AzRoleDefinition parancsot a JSON-sablonfájl megadásával.

    New-AzRoleDefinition -InputFile "C:\CustomRoles\registrationrole.json"

Felhasználó hozzárendelése regisztrációs szerepkörhöz

A regisztrációs egyéni szerepkör létrehozása után rendelje hozzá a szerepkört az Azure Stack Hub regisztrálásához használt felhasználói fiókhoz.

  1. Jelentkezzen be azzal a fiókkal, amely megfelelő engedéllyel rendelkezik az Azure-előfizetéshez a jogosultságok delegálásához – például tulajdonos vagy felhasználói hozzáférés rendszergazdája.

  2. Az Előfizetések területen válassza a Hozzáférés-vezérlés (IAM) > Szerepkör-hozzárendelés hozzáadása lehetőséget.

  3. A Szerepkör területen válassza ki a létrehozott egyéni szerepkört: Azure Stack Hub regisztrációs szerepkör.

  4. Válassza ki a szerepkörhöz hozzárendelni kívánt felhasználókat.

  5. Válassza a Mentés lehetőséget a kijelölt felhasználók szerepkörhöz való hozzárendeléséhez.

    Egyéni szerepkörhöz hozzárendelni kívánt felhasználók kijelölése Azure Portal

További információ az egyéni szerepkörök használatáról: Hozzáférés kezelése az RBAC-vel és a Azure Portal.

Következő lépések

Az Azure Stack Hub regisztrálása az Azure-ban