Creare un ruolo personalizzato per la registrazione di Azure Stack HubCreate a custom role for Azure Stack Hub registration

Avviso

Non si tratta di una funzionalità di sicurezza.This is not a security posture feature. Utilizzarlo negli scenari in cui si desidera che i vincoli impediscano modifiche accidentali alla sottoscrizione di Azure.Use it in scenarios where you want constraints to prevent accidental changes to the Azure Subscription. Quando un utente dispone di diritti delegati a questo ruolo personalizzato, l'utente dispone dei diritti per modificare le autorizzazioni ed elevare i diritti.When a user is delegated rights to this custom role, the user has rights to edit permissions and elevate rights. Assegnare solo gli utenti considerati attendibili per il ruolo personalizzato.Only assign users you trust to the custom role.

Durante la registrazione di Azure Stack Hub è necessario accedere con un account di Azure Active Directory (Azure AD).During Azure Stack Hub registration, you must sign in with an Azure Active Directory (Azure AD) account. L'account richiede le autorizzazioni Azure AD seguenti e le autorizzazioni della sottoscrizione di Azure:The account requires the following Azure AD permissions and Azure Subscription permissions:

  • Autorizzazioni di registrazione dell'app nel tenant di Azure ad: Gli amministratori hanno le autorizzazioni di registrazione delle app.App registration permissions in your Azure AD tenant: Admins have app registration permissions. L'autorizzazione per gli utenti è un'impostazione globale per tutti gli utenti nel tenant.The permission for users is a global setting for all users in the tenant. Per visualizzare o modificare l'impostazione, vedere creare un'app Azure ad e un'entità servizio che possano accedere alle risorse.To view or change the setting, see create an Azure AD app and service principal that can access resources.

    L'impostazione dell' utente può registrare le applicazioni deve essere impostata su per consentire a un account utente di registrare Azure stack Hub.The user can register applications setting must be set to Yes for you to enable a user account to register Azure Stack Hub. Se l'impostazione registrazioni per l'app è impostata su No , non è possibile usare un account utente per registrare Azure stack Hub: è necessario usare un account amministratore globale.If the app registrations setting is set to No , you can't use a user account to register Azure Stack Hub—you have to use a global admin account.

  • Un set di autorizzazioni sufficienti per la sottoscrizione di Azure: Gli utenti che appartengono al ruolo proprietario hanno autorizzazioni sufficienti.A set of sufficient Azure Subscription permissions: Users that belong to the Owner role have sufficient permissions. Per gli altri account, è possibile assegnare il set di autorizzazioni assegnando un ruolo personalizzato come descritto nelle sezioni seguenti.For other accounts, you can assign the permission set by assigning a custom role as outlined in the following sections.

Anziché usare un account con autorizzazioni proprietario nella sottoscrizione di Azure, è possibile creare un ruolo personalizzato per assegnare autorizzazioni a un account utente con privilegi di meno.Rather than using an account that has Owner permissions in the Azure subscription, you can create a custom role to assign permissions to a less-privileged user account. Questo account può quindi essere usato per registrare l'hub Azure Stack.This account can then be used to register your Azure Stack Hub.

Creare un ruolo personalizzato con PowerShellCreate a custom role using PowerShell

Per creare un ruolo personalizzato, occorre avere l'autorizzazione Microsoft.Authorization/roleDefinitions/write su tutti i AssignableScopes, come Proprietario o Amministratore accessi utente.To create a custom role, you must have the Microsoft.Authorization/roleDefinitions/write permission on all AssignableScopes, such as Owner or User Access Administrator. Usare il modello JSON seguente per semplificare la creazione del ruolo personalizzato.Use the following JSON template to simplify creation of the custom role. Il modello crea un ruolo personalizzato che consente l'accesso in lettura e scrittura richiesto per la registrazione dell'hub Azure Stack.The template creates a custom role that allows the required read and write access for Azure Stack Hub registration.

  1. Creare un file JSON.Create a JSON file. Ad esempio, C:\CustomRoles\registrationrole.json.For example, C:\CustomRoles\registrationrole.json.

  2. Aggiungere il codice JSON seguente al file.Add the following JSON to the file. Sostituire <SubscriptionID> con l'ID della sottoscrizione di Azure.Replace <SubscriptionID> with your Azure subscription ID.

    {
      "Name": "Azure Stack Hub registration role",
      "Id": null,
      "IsCustom": true,
      "Description": "Allows access to register Azure Stack Hub",
      "Actions": [
        "Microsoft.Resources/subscriptions/resourceGroups/write",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.AzureStack/registrations/*",
        "Microsoft.AzureStack/register/action",
        "Microsoft.Authorization/roleAssignments/read",
        "Microsoft.Authorization/roleAssignments/write",
        "Microsoft.Authorization/roleAssignments/delete",
        "Microsoft.Authorization/permissions/read",
        "Microsoft.Authorization/locks/read",
        "Microsoft.Authorization/locks/write"
      ],
      "NotActions": [
      ],
      "AssignableScopes": [
        "/subscriptions/<SubscriptionID>"
      ]
    }
    
  3. In PowerShell connettersi ad Azure per usare Azure Resource Manager.In PowerShell, connect to Azure to use Azure Resource Manager. Quando richiesto, eseguire l'autenticazione utilizzando un account con autorizzazioni sufficienti, ad esempio proprietario o amministratore accesso utenti.When prompted, authenticate using an account with sufficient permissions such as Owner or User Access Administrator.

    Connect-AzAccount
    
  4. Per creare il ruolo personalizzato, usare New-AzRoleDefinition specificando il file di modello JSON.To create the custom role, use New-AzRoleDefinition specifying the JSON template file.

    New-AzRoleDefinition -InputFile "C:\CustomRoles\registrationrole.json"
    

Assegnare un utente al ruolo di registrazioneAssign a user to registration role

Dopo aver creato il ruolo personalizzato di registrazione, assegnare il ruolo all'account utente che verrà usato per la registrazione dell'hub Azure Stack.After the registration custom role is created, assign the role to the user account that will be used for registering Azure Stack Hub.

  1. Accedere con l'account con autorizzazioni sufficienti per la sottoscrizione di Azure per delegare i diritti, ad esempio proprietario o amministratore accesso utenti.Sign in with the account with sufficient permission on the Azure subscription to delegate rights—such as Owner or User Access Administrator.

  2. In sottoscrizioni selezionare controllo di accesso (IAM) > Aggiungi assegnazione di ruolo.In Subscriptions , select Access control (IAM) > Add role assignment.

  3. In ruolo scegliere il ruolo personalizzato creato: Azure stack ruolo registrazione Hub.In Role , choose the custom role you created: Azure Stack Hub registration role.

  4. Selezionare gli utenti che si desidera assegnare al ruolo.Select the users you want to assign to the role.

  5. Selezionare Save (Salva ) per assegnare gli utenti selezionati al ruolo.Select Save to assign the selected users to the role.

    Selezionare gli utenti da assegnare al ruolo personalizzato in portale di Azure

Per altre informazioni sull'uso dei ruoli personalizzati, vedere gestire l'accesso con RBAC e il portale di Azure.For more information on using custom roles, see manage access using RBAC and the Azure portal.

Passaggi successiviNext steps

Registrare Azure Stack Hub con AzureRegister Azure Stack Hub with Azure