Azure Stack Hub 등록에 대한 사용자 지정 역할 만들기

경고

보안 상태 기능이 아닙니다. Azure 구독에 대한 우발적인 변경을 방지하기 위해 제약 조건을 원하는 시나리오에서 사용합니다. 사용자에게 이 사용자 지정 역할에 대한 권한이 위임되면 사용자는 권한을 편집하고 권한을 상승시킬 수 있는 권한을 갖습니다. 신뢰할 수 있는 사용자만 사용자 지정 역할에 할당합니다.

Azure Stack Hub를 등록하는 동안 azure AD(Azure Active Directory) 계정으로 로그인해야 합니다. 계정에는 다음 Azure AD 권한 및 Azure 구독 권한이 필요합니다.

  • Azure AD 테넌트에서 앱 등록 권한: 관리자에게 앱 등록 권한이 있습니다. 사용자에 대한 권한은 테넌트에 있는 모든 사용자에 대한 전역 설정입니다. 설정을 보거나 변경하려면 리소스에 액세스할 수 있는 Azure AD 앱 및 서비스 주체 만들기를 참조하세요.

    사용자 계정이 Azure Stack Hub 를 등록할 수 있도록 하려면 사용자가 애플리케이션 설정을 로 설정해야 등록할 수 있습니다. 앱 등록 설정이 아니요로 설정된 경우 사용자 계정을 사용하여 Azure Stack Hub를 등록할 수 없습니다. 전역 관리자 계정을 사용해야 합니다.

  • 충분한 Azure 구독 권한 집합: 소유자 역할에 속한 사용자에게는 충분한 권한이 있습니다. 다른 계정의 경우 다음 섹션에 설명된 대로 사용자 지정 역할을 할당하여 사용 권한 집합을 할당할 수 있습니다.

Azure 구독에서 소유자 권한이 있는 계정을 사용하는 대신 사용자 지정 역할을 만들어 권한이 낮은 사용자 계정에 권한을 할당할 수 있습니다. 그런 다음 이 계정을 사용하여 Azure Stack Hub를 등록할 수 있습니다.

PowerShell을 사용하여 사용자 지정 역할 만들기

사용자 지정 역할을 만들려면 소유자 또는 사용자 액세스 관리자와 같이 모든 AssignableScopes에 대한 Microsoft.Authorization/roleDefinitions/write 권한이 있어야 합니다. 다음 JSON 템플릿을 사용하여 사용자 지정 역할 만들기를 간소화합니다. 템플릿은 Azure Stack Hub 등록에 필요한 읽기 및 쓰기 액세스를 허용하는 사용자 지정 역할을 만듭니다.

  1. JSON 파일을 만듭니다. 예들 들어 C:\CustomRoles\registrationrole.json입니다.

  2. 파일에 다음 JSON을 추가합니다. <SubscriptionID> 를 Azure 구독 ID로 바꿉니다.

    {
      "Name": "Azure Stack Hub registration role",
      "Id": null,
      "IsCustom": true,
      "Description": "Allows access to register Azure Stack Hub",
      "Actions": [
        "Microsoft.Resources/subscriptions/resourceGroups/write",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.AzureStack/registrations/*",
        "Microsoft.AzureStack/register/action",
        "Microsoft.Authorization/roleAssignments/read",
        "Microsoft.Authorization/roleAssignments/write",
        "Microsoft.Authorization/roleAssignments/delete",
        "Microsoft.Authorization/permissions/read",
        "Microsoft.Authorization/locks/read",
        "Microsoft.Authorization/locks/write"
      ],
      "NotActions": [
      ],
      "AssignableScopes": [
        "/subscriptions/<SubscriptionID>"
      ]
    }
    
  3. PowerShell에서 Azure에 연결하여 Azure Resource Manager 사용합니다. 메시지가 표시되면 소유자 또는 사용자 액세스 관리자와 같은 충분한 권한이 있는 계정을 사용하여 인증합니다.

    Connect-AzAccount
    
  4. 사용자 지정 역할을 만들려면 JSON 템플릿 파일을 지정하는 New-AzRoleDefinition 을 사용합니다.

    New-AzRoleDefinition -InputFile "C:\CustomRoles\registrationrole.json"
    

등록 역할에 사용자 할당

등록 사용자 지정 역할을 만든 후 Azure Stack Hub 등록에 사용할 사용자 계정에 역할을 할당합니다.

  1. Azure 구독에 대한 충분한 권한이 있는 계정으로 로그인하여 권한을 위임합니다(예: 소유자 또는 사용자 액세스 관리자).

  2. 구독에서 액세스 제어(IAM) > 역할 할당 추가를 선택합니다.

  3. 역할에서 만든 사용자 지정 역할인 Azure Stack Hub 등록 역할을 선택합니다.

  4. 역할에 할당할 사용자를 선택합니다.

  5. 저장을 선택하여 선택한 사용자를 역할에 할당합니다.

    Select users to assign to custom role in Azure portal

사용자 지정 역할을 사용하는 방법에 대한 자세한 내용은 RBAC 및 Azure Portal 사용하여 액세스 관리를 참조하세요.

다음 단계

Azure에 Azure Stack Hub 등록