Tworzenie roli niestandardowej na potrzeby rejestracji w usłudze Azure Stack Hub

Ostrzeżenie

Nie jest to funkcja stanu zabezpieczeń. Używaj jej w scenariuszach, w których chcesz, aby ograniczenia zapobiegały przypadkowym zmianom w subskrypcji platformy Azure. Gdy użytkownik jest delegowany praw do tej roli niestandardowej, użytkownik ma uprawnienia do edytowania uprawnień i podniesienia uprawnień. Przypisz tylko zaufanych użytkowników do roli niestandardowej.

Podczas rejestracji w usłudze Azure Stack Hub musisz zalogować się przy użyciu konta Microsoft Entra. Konto wymaga następujących uprawnień Microsoft Entra i uprawnień subskrypcji platformy Azure:

• Uprawnienia rejestracji aplikacji w dzierżawie Microsoft Entra: administratorzy mają uprawnienia do rejestracji aplikacji. Uprawnienie dla użytkowników jest ustawieniem globalnym dla wszystkich użytkowników w dzierżawie. Aby wyświetlić lub zmienić ustawienie, zobacz tworzenie Microsoft Entra aplikacji i jednostki usługi, które mogą uzyskiwać dostęp do zasobów.

  Ustawienie Użytkownik może rejestrować aplikacje musi mieć wartość Tak, aby umożliwić konto użytkownika zarejestrowanie usługi Azure Stack Hub. Jeśli ustawienie rejestracji aplikacji ma wartość Nie, nie możesz użyć konta użytkownika do zarejestrowania usługi Azure Stack Hub — musisz użyć konta administratora globalnego.

• Zestaw wystarczających uprawnień subskrypcji platformy Azure: Użytkownicy należący do roli Właściciel mają wystarczające uprawnienia. W przypadku innych kont można przypisać zestaw uprawnień, przypisując rolę niestandardową zgodnie z opisem w poniższych sekcjach.

Zamiast korzystać z konta z uprawnieniami właściciela w subskrypcji platformy Azure, możesz utworzyć rolę niestandardową, aby przypisać uprawnienia do konta użytkownika z mniejszymi uprawnieniami. Tego konta można następnie użyć do zarejestrowania usługi Azure Stack Hub.

Tworzenie roli niestandardowej przy użyciu programu PowerShell

Aby utworzyć rolę niestandardową, musisz mieć Microsoft.Authorization/roleDefinitions/write uprawnienie do wszystkich AssignableScopeselementów , takich jak Właściciel lub Administrator dostępu użytkowników. Użyj następującego szablonu JSON, aby uprościć tworzenie roli niestandardowej. Szablon tworzy rolę niestandardową, która umożliwia wymagany dostęp do odczytu i zapisu na potrzeby rejestracji w usłudze Azure Stack Hub.

1. Utwórz plik JSON. Na przykład C:\CustomRoles\registrationrole.json.

2. Dodaj do pliku następujący kod JSON. Zamień wartość <SubscriptionID> na identyfikator swojej subskrypcji platformy Azure.

   {
     "Name": "Azure Stack Hub registration role",
     "Id": null,
     "IsCustom": true,
     "Description": "Allows access to register Azure Stack Hub",
     "Actions": [
       "Microsoft.Resources/subscriptions/resourceGroups/write",
       "Microsoft.Resources/subscriptions/resourceGroups/read",
       "Microsoft.AzureStack/registrations/*",
       "Microsoft.AzureStack/register/action",
       "Microsoft.Authorization/roleAssignments/read",
       "Microsoft.Authorization/roleAssignments/write",
       "Microsoft.Authorization/roleAssignments/delete",
       "Microsoft.Authorization/permissions/read",
       "Microsoft.Authorization/locks/read",
       "Microsoft.Authorization/locks/write"
     ],
     "NotActions": [
     ],
     "AssignableScopes": [
       "/subscriptions/<SubscriptionID>"
     ]
   }
   

3. W programie PowerShell połącz się z platformą Azure, aby użyć usługi Azure Resource Manager. Po wyświetleniu monitu uwierzytelnij się przy użyciu konta z wystarczającymi uprawnieniami, takimi jak Właściciel lub Administrator dostępu użytkowników.

   Connect-AzAccount
   

4. Aby utworzyć rolę niestandardową, użyj polecenia New-AzRoleDefinition , określając plik szablonu JSON.

   New-AzRoleDefinition -InputFile "C:\CustomRoles\registrationrole.json"
   

Przypisywanie użytkownika do roli rejestracji

Po utworzeniu roli niestandardowej rejestracji przypisz rolę do konta użytkownika, które będzie używane do rejestrowania usługi Azure Stack Hub.

1. Zaloguj się przy użyciu konta z wystarczającym uprawnieniem w subskrypcji platformy Azure, aby delegować prawa — takie jak właściciel lub administrator dostępu użytkowników.

2. W obszarze Subskrypcje wybierz pozycję Kontrola dostępu (zarządzanie dostępem i tożsamościami) > Dodaj przypisanie roli.

3. W obszarze Rola wybierz utworzoną rolę niestandardową: rolę rejestracji usługi Azure Stack Hub.

4. Wybierz użytkowników, którzy mają zostać przypisani do roli.

5. Wybierz pozycję Zapisz , aby przypisać wybranych użytkowników do roli.

   

Aby uzyskać więcej informacji na temat korzystania z ról niestandardowych, zobacz zarządzanie dostępem przy użyciu kontroli dostępu opartej na rolach i Azure Portal.

Następne kroki

Rejestrowanie usługi Azure Stack Hub na platformie Azure