Azure Stack 허브 등록을 위한 사용자 지정 역할 만들기Create a custom role for Azure Stack Hub registration

경고

이는 보안 상태 기능이 아닙니다.This is not a security posture feature. 제약 조건을 사용 하 여 Azure 구독에 대 한 실수로 인 한 변경 사항을 방지 하려는 시나리오에서 사용 합니다.Use it in scenarios where you want constraints to prevent accidental changes to the Azure Subscription. 사용자가이 사용자 지정 역할에 대 한 권한을 위임 하는 경우 사용자에 게 사용 권한을 편집 하 고 권한을 상승 시킬 수 있는 권한이 있습니다.When a user is delegated rights to this custom role, the user has rights to edit permissions and elevate rights. 신뢰 하는 사용자만 사용자 지정 역할에 할당 합니다.Only assign users you trust to the custom role.

Azure Stack 허브를 등록 하는 동안 Azure Active Directory (Azure AD) 계정으로 로그인 해야 합니다.During Azure Stack Hub registration, you must sign in with an Azure Active Directory (Azure AD) account. 계정에는 다음 Azure AD 권한 및 Azure 구독 권한이 필요 합니다.The account requires the following Azure AD permissions and Azure Subscription permissions:

  • AZURE AD 테 넌 트에서 앱 등록 권한: 관리자에 게는 앱 등록 권한이 있습니다.App registration permissions in your Azure AD tenant: Admins have app registration permissions. 사용자에 대 한 권한은 테 넌 트의 모든 사용자에 대 한 전역 설정입니다.The permission for users is a global setting for all users in the tenant. 설정을 보거나 변경 하려면 리소스에 액세스할 수 있는 AZURE AD 앱 및 서비스 주체 만들기를 참조 하세요.To view or change the setting, see create an Azure AD app and service principal that can access resources.

    사용자 계정이 Azure Stack 허브를 등록 하도록 설정 하려면 사용자가 응용 프로그램을 등록할 수 있음 설정을 로 설정 해야 합니다.The user can register applications setting must be set to Yes for you to enable a user account to register Azure Stack Hub. 앱 등록 설정이 아니요 로 설정 된 경우 사용자 계정을 사용 하 여 Azure Stack 허브를 등록할 수 없으며 전역 관리자 계정을 사용 해야 합니다.If the app registrations setting is set to No , you can't use a user account to register Azure Stack Hub—you have to use a global admin account.

  • 충분 한 Azure 구독 권한 집합: 소유자 역할에 속한 사용자에 게는 충분 한 권한이 있습니다.A set of sufficient Azure Subscription permissions: Users that belong to the Owner role have sufficient permissions. 다른 계정의 경우에는 다음 섹션에 설명 된 대로 사용자 지정 역할을 할당 하 여 권한 집합을 할당할 수 있습니다.For other accounts, you can assign the permission set by assigning a custom role as outlined in the following sections.

Azure 구독에서 소유자 권한이 있는 계정을 사용 하는 대신, 권한이 낮은 사용자 계정에 권한을 할당 하는 사용자 지정 역할을 만들 수 있습니다.Rather than using an account that has Owner permissions in the Azure subscription, you can create a custom role to assign permissions to a less-privileged user account. 그런 다음이 계정을 사용 하 여 Azure Stack 허브를 등록할 수 있습니다.This account can then be used to register your Azure Stack Hub.

PowerShell을 사용 하 여 사용자 지정 역할 만들기Create a custom role using PowerShell

사용자 지정 역할을 만들려면 소유자 또는 사용자 액세스 관리자와 같이 모든 AssignableScopes에 대한 Microsoft.Authorization/roleDefinitions/write 권한이 있어야 합니다.To create a custom role, you must have the Microsoft.Authorization/roleDefinitions/write permission on all AssignableScopes, such as Owner or User Access Administrator. 다음 JSON 템플릿을 사용 하 여 사용자 지정 역할을 간편 하 게 만들 수 있습니다.Use the following JSON template to simplify creation of the custom role. 템플릿은 Azure Stack 허브 등록에 필요한 읽기 및 쓰기 액세스를 허용 하는 사용자 지정 역할을 만듭니다.The template creates a custom role that allows the required read and write access for Azure Stack Hub registration.

  1. JSON 파일을 만듭니다.Create a JSON file. 예: C:\CustomRoles\registrationrole.json.For example, C:\CustomRoles\registrationrole.json.

  2. 파일에 다음 JSON을 추가합니다.Add the following JSON to the file. <SubscriptionID> 를 Azure 구독 ID로 바꿉니다.Replace <SubscriptionID> with your Azure subscription ID.

    {
      "Name": "Azure Stack Hub registration role",
      "Id": null,
      "IsCustom": true,
      "Description": "Allows access to register Azure Stack Hub",
      "Actions": [
        "Microsoft.Resources/subscriptions/resourceGroups/write",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.AzureStack/registrations/*",
        "Microsoft.AzureStack/register/action",
        "Microsoft.Authorization/roleAssignments/read",
        "Microsoft.Authorization/roleAssignments/write",
        "Microsoft.Authorization/roleAssignments/delete",
        "Microsoft.Authorization/permissions/read",
        "Microsoft.Authorization/locks/read",
        "Microsoft.Authorization/locks/write"
      ],
      "NotActions": [
      ],
      "AssignableScopes": [
        "/subscriptions/<SubscriptionID>"
      ]
    }
    
  3. PowerShell에서 Azure에 연결 하 여 Azure Resource Manager를 사용 합니다.In PowerShell, connect to Azure to use Azure Resource Manager. 메시지가 표시 되 면 소유자 또는 사용자 액세스 관리자와 같은 충분 한 권한이 있는 계정을 사용 하 여 인증 합니다.When prompted, authenticate using an account with sufficient permissions such as Owner or User Access Administrator.

    Connect-AzAccount
    
  4. 사용자 지정 역할을 만들려면 JSON 템플릿 파일을 지정 하는 AzRoleDefinition 를 사용 합니다.To create the custom role, use New-AzRoleDefinition specifying the JSON template file.

    New-AzRoleDefinition -InputFile "C:\CustomRoles\registrationrole.json"
    

사용자를 등록 역할에 할당Assign a user to registration role

등록 사용자 지정 역할을 만든 후 Azure Stack 허브를 등록 하는 데 사용할 사용자 계정에 역할을 할당 합니다.After the registration custom role is created, assign the role to the user account that will be used for registering Azure Stack Hub.

  1. 소유자 또는 사용자 액세스 관리자와 같은 권한을 위임 하기 위해 Azure 구독에 대 한 충분 한 권한이 있는 계정으로 로그인 합니다.Sign in with the account with sufficient permission on the Azure subscription to delegate rights—such as Owner or User Access Administrator.

  2. 구독 에서 액세스 제어 (IAM) > 역할 할당 추가 를 선택 합니다.In Subscriptions , select Access control (IAM) > Add role assignment.

  3. 역할 에서 만든 사용자 지정 역할 Azure Stack 허브 등록 역할 을 선택 합니다.In Role , choose the custom role you created: Azure Stack Hub registration role.

  4. 역할에 할당 하려는 사용자를 선택 합니다.Select the users you want to assign to the role.

  5. 저장 을 선택 하 여 선택한 사용자를 역할에 할당 합니다.Select Save to assign the selected users to the role.

    Azure Portal에서 사용자 지정 역할에 할당할 사용자를 선택 합니다.

사용자 지정 역할을 사용 하는 방법에 대 한 자세한 내용은 RBAC를 사용 하 여 액세스 관리 및 Azure Portal을 참조 하세요.For more information on using custom roles, see manage access using RBAC and the Azure portal.

다음 단계Next steps

Azure를 사용 하 여 Azure Stack 허브 등록Register Azure Stack Hub with Azure