Membuat peran kustom untuk pendaftaran Azure Stack Hub

Peringatan

Ini bukanlah fitur postur keamanan. Gunakan dalam skenario di mana Anda menginginkan batasan untuk mencegah perubahan yang tidak disengaja pada Langganan Azure. Ketika pengguna didelegasikan hak atas peran kustom ini, pengguna memiliki hak untuk mengedit izin dan meningkatkan hak. Hanya tetapkan pengguna yang Anda percayai ke peran kustom.

Selama pendaftaran Azure Stack Hub, Anda harus masuk dengan akun Microsoft Entra. Akun memerlukan izin Microsoft Entra berikut dan izin Langganan Azure:

• Izin pendaftaran aplikasi di penyewa Microsoft Entra Anda: Admin memiliki izin pendaftaran aplikasi. Izin untuk pengguna merupakan pengaturan global untuk semua pengguna di penyewa. Untuk melihat atau mengubah pengaturan, lihat membuat aplikasi Microsoft Entra dan perwakilan layanan yang dapat mengakses sumber daya.

  Pengaturan pengguna dapat mendaftarkan aplikasi harus diatur ke Ya bagi Anda untuk mengaktifkan akun pengguna guna mendaftarkan Azure Stack Hub. Jika pengaturan pendaftaran aplikasi diatur ke Tidak, Anda tidak dapat menggunakan akun pengguna untuk mendaftarkan Azure Stack Hub--Anda harus menggunakan akun administrator global.

• Satu set izin Langganan Azure yang cukup: Pengguna yang termasuk dalam peran Pemilik memiliki izin yang cukup. Untuk akun lain, Anda dapat menetapkan izin yang ditetapkan dengan menetapkan peran kustom sebagaimana diuraikan di bagian berikut.

Alih-alih menggunakan akun yang memiliki izin Pemilik di langganan Azure, Anda dapat membuat peran kustom untuk menetapkan izin ke akun pengguna yang kurang istimewa. Akun ini kemudian dapat digunakan untuk mendaftarkan Azure Stack Hub Anda.

Membuat peran kustom menggunakan PowerShell

Untuk membuat peran kustom, Anda harus memiliki izin Microsoft.Authorization/roleDefinitions/write pada semua AssignableScopes, seperti Pemilik atau Administrator Akses Pengguna. Gunakan templat JSON berikut untuk menyederhanakan pembuatan peran kustom. Templat membuat peran kustom yang memungkinkan akses baca dan tulis yang diperlukan untuk pendaftaran Azure Stack Hub.

1. Buat file JSON. Contohnya:C:\CustomRoles\registrationrole.json

2. Tambahkan JSON berikut ke file. Ganti <SubscriptionID> dengan ID langganan Azure Anda.

   {
     "Name": "Azure Stack Hub registration role",
     "Id": null,
     "IsCustom": true,
     "Description": "Allows access to register Azure Stack Hub",
     "Actions": [
       "Microsoft.Resources/subscriptions/resourceGroups/write",
       "Microsoft.Resources/subscriptions/resourceGroups/read",
       "Microsoft.AzureStack/registrations/*",
       "Microsoft.AzureStack/register/action",
       "Microsoft.Authorization/roleAssignments/read",
       "Microsoft.Authorization/roleAssignments/write",
       "Microsoft.Authorization/roleAssignments/delete",
       "Microsoft.Authorization/permissions/read",
       "Microsoft.Authorization/locks/read",
       "Microsoft.Authorization/locks/write"
     ],
     "NotActions": [
     ],
     "AssignableScopes": [
       "/subscriptions/<SubscriptionID>"
     ]
   }
   

3. Di PowerShell, sambungkan ke Azure untuk menggunakan Azure Resource Manager. Saat diminta, autentikasikan menggunakan akun dengan izin yang cukup seperti Pemilik atau Administrator Akses Pengguna.

   Connect-AzAccount
   

4. Untuk membuat peran kustom, gunakan New-AzRoleDefinition yang menentukan file template JSON.

   New-AzRoleDefinition -InputFile "C:\CustomRoles\registrationrole.json"
   

Menetapkan pengguna ke peran pendaftaran

Setelah peran kustom pendaftaran dibuat, tetapkan peran ke akun pengguna yang akan digunakan untuk mendaftarkan Azure Stack Hub.

1. Masuk menggunakan akun dengan izin yang cukup pada langganan Azure untuk mendelegasikan hak--seperti Pemilik atau Administrator Akses Pengguna.

2. Pada Langganan, pilih Kontrol akses (IAM) > Tambahkan penetapan peran.

3. Pada Peran, pilih peran kustom yang Anda buat: Peran pendaftaran Azure Stack Hub.

4. Pilih pengguna yang ingin Anda tetapkan ke peran tersebut.

5. Pilih Simpan untuk menetapkan pengguna yang dipilih ke peran tersebut.

   

Untuk informasi selengkapnya tentang penggunaan peran kustom, lihat mengelola akses menggunakan RBAC dan portal Microsoft Azure.

Langkah berikutnya

Mendaftarkan Azure Stack Hub dengan Azure