Azure Stack Hub 登録用のカスタム ロールを作成するCreate a custom role for Azure Stack Hub registration

警告

これは、セキュリティ体制の機能ではありません。This is not a security posture feature. Azure サブスクリプションが誤って変更されないようにする制約が必要なシナリオでは、これを使用します。Use it in scenarios where you want constraints to prevent accidental changes to the Azure Subscription. ユーザーがこのカスタム ロールに対する権限を委任されている場合、そのユーザーはアクセス許可の編集と権利の昇格の権限を持ちます。When a user is delegated rights to this custom role, the user has rights to edit permissions and elevate rights. カスタム ロールには信頼できるユーザーのみを割り当ててください。Only assign users you trust to the custom role.

Azure Stack Hub の登録時には、Azure Active Directory (Azure AD) アカウントでサインインする必要があります。During Azure Stack Hub registration, you must sign in with an Azure Active Directory (Azure AD) account. アカウントには、次の Azure AD のアクセス許可と Azure サブスクリプションのアクセス許可が必要です。The account requires the following Azure AD permissions and Azure Subscription permissions:

  • Azure AD テナントでのアプリの登録のアクセス許可: 管理者がアプリの登録のアクセス許可を持っています。App registration permissions in your Azure AD tenant: Admins have app registration permissions. ユーザーのアクセス許可は、テナントのすべてのユーザーに対するグローバル設定です。The permission for users is a global setting for all users in the tenant. この設定を確認または変更するには、「リソースにアクセスできる Azure AD アプリとサービス プリンシパルをポータルで作成する」を参照してください。To view or change the setting, see create an Azure AD app and service principal that can access resources.

    "ユーザーはアプリケーションを登録できる" の設定は、ユーザー アカウントで Azure Stack Hub を登録できるようにするため、 [はい] に設定する必要があります。The user can register applications setting must be set to Yes for you to enable a user account to register Azure Stack Hub. アプリ登録設定が [いいえ] に設定されている場合は、Azure Stack Hub の登録にユーザー アカウントを使用することはできません。グローバル管理者アカウントを使用する必要があります。If the app registrations setting is set to No, you can't use a user account to register Azure Stack Hub—you have to use a global admin account.

  • Azure サブスクリプションの十分なアクセス許可のセット: 所有者ロールに属しているユーザーには、十分なアクセス許可があります。A set of sufficient Azure Subscription permissions: Users that belong to the Owner role have sufficient permissions. 他のアカウントの場合は、次のセクションで説明するようにカスタム ロールを割り当てることで、アクセス許可セットを割り当てることができます。For other accounts, you can assign the permission set by assigning a custom role as outlined in the following sections.

Azure サブスクリプションの所有者アクセス許可を持つアカウントを使う代わりに、カスタム ロールを作成して、特権が低いユーザー アカウントにアクセス許可を割り当てることができます。Rather than using an account that has Owner permissions in the Azure subscription, you can create a custom role to assign permissions to a less-privileged user account. その後、このアカウントを使用して、Azure Stack Hub を登録できます。This account can then be used to register your Azure Stack Hub.

PowerShell を使用してカスタム ロールを作成するCreate a custom role using PowerShell

カスタム ロールを作成するには、所有者ユーザー アクセス管理者など、すべての AssignableScopes に対する Microsoft.Authorization/roleDefinitions/write アクセス許可が必要になります。To create a custom role, you must have the Microsoft.Authorization/roleDefinitions/write permission on all AssignableScopes, such as Owner or User Access Administrator. カスタム ロールの作成を簡素化するには、次の JSON テンプレートを使います。Use the following JSON template to simplify creation of the custom role. このテンプレートでは、Azure Stack Hub の登録に必要な読み取りアクセスおよび書き込みアクセスを許可するカスタム ロールを作成します。The template creates a custom role that allows the required read and write access for Azure Stack Hub registration.

  1. JSON ファイルを作成します。Create a JSON file. (例: C:\CustomRoles\registrationrole.json)。For example, C:\CustomRoles\registrationrole.json.

  2. 次の JSON をファイルに追加します。Add the following JSON to the file. <SubscriptionID> は、Azure サブスクリプション ID に置き換えてください。Replace <SubscriptionID> with your Azure subscription ID.

    {
      "Name": "Azure Stack Hub registration role",
      "Id": null,
      "IsCustom": true,
      "Description": "Allows access to register Azure Stack Hub",
      "Actions": [
        "Microsoft.Resources/subscriptions/resourceGroups/write",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.AzureStack/registrations/*",
        "Microsoft.AzureStack/register/action",
        "Microsoft.Authorization/roleAssignments/read",
        "Microsoft.Authorization/roleAssignments/write",
        "Microsoft.Authorization/roleAssignments/delete",
        "Microsoft.Authorization/permissions/read",
        "Microsoft.Authorization/locks/read",
        "Microsoft.Authorization/locks/write"
      ],
      "NotActions": [
      ],
      "AssignableScopes": [
        "/subscriptions/<SubscriptionID>"
      ]
    }
    
  3. PowerShell で、Azure Resource Manager を使用するために Azure に接続します。In PowerShell, connect to Azure to use Azure Resource Manager. メッセージが表示されたら、所有者またはユーザー アクセス管理者などの十分なアクセス許可を持つアカウントを使用して認証します。When prompted, authenticate using an account with sufficient permissions such as Owner or User Access Administrator.

    Connect-AzureRmAccount
    
  4. カスタム ロールを作成するには、New-AzureRmRoleDefinition を使用して JSON テンプレート ファイルを指定します。To create the custom role, use New-AzureRmRoleDefinition specifying the JSON template file.

    New-AzureRmRoleDefinition -InputFile "C:\CustomRoles\registrationrole.json"
    

ユーザーを登録ロールに割り当てるAssign a user to registration role

登録カスタム ロールを作成した後、Azure Stack Hub の登録に使用するユーザー アカウントにそのロールを割り当てます。After the registration custom role is created, assign the role to the user account that will be used for registering Azure Stack Hub.

  1. 権限を委任するのに十分な Azure サブスクリプションのアクセス許可 を持つアカウント (所有者ユーザー アクセス管理者など) でサインインします。Sign in with the account with sufficient permission on the Azure subscription to delegate rights—such as Owner or User Access Administrator.

  2. [サブスクリプション] で、 [アクセス制御 (IAM)] > [ロール割り当ての追加] の順に選択します。In Subscriptions, select Access control (IAM) > Add role assignment.

  3. [ロール] で、作成したカスタム ロール "Azure Stack Hub 登録ロール"。In Role, choose the custom role you created: Azure Stack Hub registration role.

  4. ロールに割り当てるユーザーを選択します。Select the users you want to assign to the role.

  5. [保存] を選択して、選択したユーザーをロールに割り当てます。Select Save to assign the selected users to the role.

    Azure portal でカスタム ロールに割り当てるユーザーを選択します。

カスタム ロールの使用の詳細については、「RBAC と Azure portal を使用してアクセスを管理する」を参照してください。For more information on using custom roles, see manage access using RBAC and the Azure portal.

次のステップNext steps

Azure Stack Hub を Azure に登録するRegister Azure Stack Hub with Azure