Een aangepaste rol maken voor Azure Stack Hub-registratie
Waarschuwing
Dit is geen beveiligingspostuurfunctie. Gebruik deze in scenario's waarin u beperkingen wilt gebruiken om onbedoelde wijzigingen in het Azure-abonnement te voorkomen. Wanneer een gebruiker rechten heeft voor deze aangepaste rol, heeft de gebruiker rechten om machtigingen te bewerken en rechten te verhogen. Wijs alleen gebruikers toe die u vertrouwt voor de aangepaste rol.
Tijdens de registratie van Azure Stack Hub moet u zich aanmelden met een Azure Active Directory (Azure AD)-account. Voor het account zijn de volgende Azure AD-machtigingen en Azure-abonnementsmachtigingen vereist:
App-registratiemachtigingen in uw Azure AD-tenant: Beheerders hebben app-registratiemachtigingen. De machtiging voor gebruikers is een globale instelling voor alle gebruikers in de tenant. Als u de instelling wilt weergeven of wijzigen, raadpleegt u een Azure AD-app en service-principal maken die toegang heeft tot resources.
De gebruiker kan de toepassingsinstelling registreren , moet zijn ingesteld op Ja , zodat u een gebruikersaccount kunt inschakelen om Azure Stack Hub te registreren. Als de instelling voor app-registraties is ingesteld op Nee, kunt u geen gebruikersaccount gebruiken om Azure Stack Hub te registreren. U moet een globale beheerdersaccount gebruiken.
Een set met voldoende Azure-abonnementsmachtigingen: Gebruikers die deel uitmaken van de rol Eigenaar hebben voldoende machtigingen. Voor andere accounts kunt u de machtigingenset toewijzen door een aangepaste rol toe te wijzen, zoals wordt beschreven in de volgende secties.
In plaats van een account te gebruiken met eigenaarsmachtigingen in het Azure-abonnement, kunt u een aangepaste rol maken om machtigingen toe te wijzen aan een gebruikersaccount met minder bevoegdheden. Dit account kan vervolgens worden gebruikt om uw Azure Stack Hub te registreren.
Een aangepaste rol maken met Behulp van PowerShell
Als u een aangepaste rol wilt maken, moet u de Microsoft.Authorization/roleDefinitions/write machtiging hebben voor iedereen AssignableScopes, zoals Eigenaar of Beheerder van gebruikerstoegang. Gebruik de volgende JSON-sjabloon om het maken van de aangepaste rol te vereenvoudigen. De sjabloon maakt een aangepaste rol die de vereiste lees- en schrijftoegang voor Azure Stack Hub-registratie toestaat.
Maak een JSON-bestand. Bijvoorbeeld
C:\CustomRoles\registrationrole.json.Voeg de volgende JSON-code toe aan het bestand. Vervang
<SubscriptionID>door de id van uw Azure-abonnement.{ "Name": "Azure Stack Hub registration role", "Id": null, "IsCustom": true, "Description": "Allows access to register Azure Stack Hub", "Actions": [ "Microsoft.Resources/subscriptions/resourceGroups/write", "Microsoft.Resources/subscriptions/resourceGroups/read", "Microsoft.AzureStack/registrations/*", "Microsoft.AzureStack/register/action", "Microsoft.Authorization/roleAssignments/read", "Microsoft.Authorization/roleAssignments/write", "Microsoft.Authorization/roleAssignments/delete", "Microsoft.Authorization/permissions/read", "Microsoft.Authorization/locks/read", "Microsoft.Authorization/locks/write" ], "NotActions": [ ], "AssignableScopes": [ "/subscriptions/<SubscriptionID>" ] }Maak in PowerShell verbinding met Azure om Azure Resource Manager te gebruiken. Wanneer u hierom wordt gevraagd, moet u zich verifiëren met behulp van een account met voldoende machtigingen, zoals Eigenaar of Beheerder van gebruikerstoegang.
Connect-AzAccountAls u de aangepaste rol wilt maken, gebruikt u New-AzRoleDefinition om het JSON-sjabloonbestand op te geven.
New-AzRoleDefinition -InputFile "C:\CustomRoles\registrationrole.json"
Een gebruiker toewijzen aan de registratierol
Nadat de aangepaste registratierol is gemaakt, wijst u de rol toe aan het gebruikersaccount dat wordt gebruikt voor het registreren van Azure Stack Hub.
Meld u aan met het account met voldoende machtigingen voor het Azure-abonnement om rechten te delegeren, zoals eigenaar of beheerder van gebruikerstoegang.
Selecteer in Abonnementen toegangsbeheer(IAM) > Roltoewijzing toevoegen.
Kies in Rol de aangepaste rol die u hebt gemaakt: Azure Stack Hub-registratierol.
Selecteer de gebruikers die u aan de rol wilt toewijzen.
Selecteer Opslaan om de geselecteerde gebruikers toe te wijzen aan de rol.
Zie Toegang beheren met RBAC en de Azure Portal voor meer informatie over het gebruik van aangepaste rollen.