Egyéni szerepkör létrehozása a Azure Stack Hub számára

Figyelmeztetés

Ez nem biztonsági funkció. Olyan forgatókönyvekben használhatja, ahol korlátozásokat szeretne az Azure-előfizetés véletlen módosításainak megakadályozására. Ha egy felhasználó erre az egyéni szerepkörre delegált jogosultságokkal rendelkezik, jogosultságot kap az engedélyek szerkesztésére és jogosultságszint- emelő szintre. Csak a megbízható felhasználókat rendelje hozzá az egyéni szerepkörhöz.

A Azure Stack Hub során be kell jelentkeznie egy Azure Active Directory (Azure AD-) fiókkal. A fiókhoz a következő Azure AD-engedélyekre és Azure-előfizetési engedélyekre van szükség:

  • Alkalmazásregisztrációs engedélyek az Azure AD-bérlőben: A rendszergazdák alkalmazásregisztrációs engedélyekkel rendelkezik. A felhasználókra vonatkozó engedély egy globális beállítás a bérlő összes felhasználója számára. A beállítás megtekintéséhez vagy módosításhoz tekintse meg az erőforrásokhoz hozzáférő Azure AD-alkalmazásés -szolgáltatásnév létrehozása részt.

    Ahhoz, hogy a felhasználói fiók regisztrálja az alkalmazásokat, igen Azure Stack Hub. Ha az alkalmazásregisztrációk beállítása Nem,nem használhat felhasználói fiókot a Azure Stack Hub – globális rendszergazdai fiókot kell használnia.

  • Elegendő Azure-előfizetési engedélykészlet: A Tulajdonos szerepkörhöz tartozó felhasználók megfelelő engedélyekkel rendelkeznek. Más fiókok esetében hozzárendelheti az engedélykészletet egy egyéni szerepkör hozzárendelésével a következő szakaszokban ismertetettek szerint.

Ahelyett, hogy tulajdonosi engedélyekkel rendelkező fiókot használ az Azure-előfizetésben, létrehozhat egy egyéni szerepkört, amely engedélyeket rendel egy kevésbé kiemelt jogosultságú felhasználói fiókhoz. Ezzel a fiókkal ezután regisztrálhatja a Azure Stack Hub.

Egyéni szerepkör létrehozása a PowerShell használatával

Egyéni szerepkör létrehozásához minden szerepkörhöz rendelkeznie kell a megfelelő engedéllyel, például Tulajdonos vagy Felhasználói hozzáférés Microsoft.Authorization/roleDefinitions/writeAssignableScopesAssignableScopesMicrosoft.Authorization/roleDefinitions/write Az alábbi JSON-sablonnal egyszerűsítheti az egyéni szerepkör létrehozását. A sablon létrehoz egy egyéni szerepkört, amely lehetővé teszi a szükséges olvasási és írási hozzáférést Azure Stack Hub regisztrációhoz.

  1. Hozzon létre egy JSON-fájlt. Például: C:\CustomRoles\registrationrole.json.

  2. Adja hozzá az alábbi JSON-kódot a fájlhoz. Cserélje le a <SubscriptionID> értékét a saját Azure-előfizetése azonosítójára.

    {
      "Name": "Azure Stack Hub registration role",
      "Id": null,
      "IsCustom": true,
      "Description": "Allows access to register Azure Stack Hub",
      "Actions": [
        "Microsoft.Resources/subscriptions/resourceGroups/write",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.AzureStack/registrations/*",
        "Microsoft.AzureStack/register/action",
        "Microsoft.Authorization/roleAssignments/read",
        "Microsoft.Authorization/roleAssignments/write",
        "Microsoft.Authorization/roleAssignments/delete",
        "Microsoft.Authorization/permissions/read",
        "Microsoft.Authorization/locks/read",
        "Microsoft.Authorization/locks/write"
      ],
      "NotActions": [
      ],
      "AssignableScopes": [
        "/subscriptions/<SubscriptionID>"
      ]
    }
    
  3. A PowerShellben csatlakozzon az Azure-hoz a Azure Resource Manager. Amikor a rendszer kéri, hitelesítse magát egy megfelelő engedélyekkel rendelkező fiókkal, például Tulajdonos vagy Felhasználói hozzáférés rendszergazdája.

    Connect-AzAccount
    
  4. Az egyéni szerepkör létrehozásához használja a New-AzRoleDefinition sablont, és adja meg a JSON-sablonfájlt.

    New-AzRoleDefinition -InputFile "C:\CustomRoles\registrationrole.json"
    

Felhasználó hozzárendelése a regisztrációs szerepkörhöz

A regisztrációs egyéni szerepkör létrehozása után rendelje hozzá a szerepkört ahhoz a felhasználói fiókhoz, amely a regisztrációhoz Azure Stack Hub.

  1. Jelentkezzen be az Azure-előfizetésen megfelelő jogosultságokkal rendelkező fiókkal , például Tulajdonos vagy Felhasználói hozzáférés rendszergazdája.

  2. Az Előfizetések alattválassza a Hozzáférés-vezérlés (IAM) Szerepkör-hozzárendelés hozzáadása lehetőséget.

  3. A Szerepkör mezőbenválassza ki a létrehozott egyéni szerepkört: Azure Stack Hub szerepkört.

  4. Válassza ki a szerepkörhöz hozzárendelni kívánt felhasználókat.

  5. Válassza a Mentés lehetőséget a kiválasztott felhasználók szerepkörhöz való hozzárendeléshez.

    Select users to assign to custom role in Azure portal

Az egyéni szerepkörök használatával kapcsolatos további információkért lásd: Hozzáférés kezelése az RBAC és a Azure Portal.

Következő lépések

Regisztráció Azure Stack Hub Azure-ban