Criar uma função personalizada para o registro de Azure Stack HubCreate a custom role for Azure Stack Hub registration

Aviso

Esse não é um recurso de postura de segurança.This is not a security posture feature. Use-o em cenários em que você deseja restrições para impedir alterações acidentais na assinatura do Azure.Use it in scenarios where you want constraints to prevent accidental changes to the Azure Subscription. Quando um usuário é delegado a direitos para essa função personalizada, o usuário tem direitos para editar permissões e elevar os direitos.When a user is delegated rights to this custom role, the user has rights to edit permissions and elevate rights. Atribua somente usuários confiáveis à função personalizada.Only assign users you trust to the custom role.

Durante Azure Stack registro de Hub, você deve entrar com uma conta do Azure Active Directory (AD do Azure).During Azure Stack Hub registration, you must sign in with an Azure Active Directory (Azure AD) account. A conta requer as seguintes permissões do Azure AD e permissões de assinatura do Azure:The account requires the following Azure AD permissions and Azure Subscription permissions:

  • Permissões de registro de aplicativo em seu locatário do Azure AD: Os administradores têm permissões de registro do aplicativo.App registration permissions in your Azure AD tenant: Admins have app registration permissions. A permissão para os usuários é uma configuração global para todos os usuários no locatário.The permission for users is a global setting for all users in the tenant. Para exibir ou alterar a configuração, consulte criar um aplicativo do Azure AD e uma entidade de serviço que pode acessar recursos.To view or change the setting, see create an Azure AD app and service principal that can access resources.

    A configuração usuário pode registrar aplicativos deve ser definida como Sim para que você habilite uma conta de usuário para registrar Azure Stack Hub.The user can register applications setting must be set to Yes for you to enable a user account to register Azure Stack Hub. Se a configuração registros do aplicativo estiver definida como não , você não poderá usar uma conta de usuário para registrar Azure Stack Hub — você precisa usar uma conta de administrador global.If the app registrations setting is set to No , you can't use a user account to register Azure Stack Hub—you have to use a global admin account.

  • Um conjunto de permissões de assinatura do Azure suficientes: Os usuários que pertencem à função de proprietário têm permissões suficientes.A set of sufficient Azure Subscription permissions: Users that belong to the Owner role have sufficient permissions. Para outras contas, você pode atribuir o conjunto de permissões atribuindo uma função personalizada conforme descrito nas seções a seguir.For other accounts, you can assign the permission set by assigning a custom role as outlined in the following sections.

Em vez de usar uma conta que tenha permissões de proprietário na assinatura do Azure, você pode criar uma função personalizada para atribuir permissões a uma conta de usuário com menos privilégios.Rather than using an account that has Owner permissions in the Azure subscription, you can create a custom role to assign permissions to a less-privileged user account. Essa conta pode ser usada para registrar seu Azure Stack Hub.This account can then be used to register your Azure Stack Hub.

Criar uma função personalizada usando o PowerShellCreate a custom role using PowerShell

Para criar uma função personalizada, você precisa ter a permissão Microsoft.Authorization/roleDefinitions/write em todo AssignableScopes, como Proprietário ou Administrador de Acesso de Usuário.To create a custom role, you must have the Microsoft.Authorization/roleDefinitions/write permission on all AssignableScopes, such as Owner or User Access Administrator. Use o modelo JSON a seguir para simplificar a criação da função personalizada.Use the following JSON template to simplify creation of the custom role. O modelo cria uma função personalizada que permite o acesso de leitura e gravação necessário para o registro de Azure Stack Hub.The template creates a custom role that allows the required read and write access for Azure Stack Hub registration.

  1. Crie um arquivo JSON.Create a JSON file. Por exemplo, C:\CustomRoles\registrationrole.json.For example, C:\CustomRoles\registrationrole.json.

  2. Adicione o seguinte JSON ao arquivo.Add the following JSON to the file. Substitua <SubscriptionID> por sua ID da assinatura do Azure.Replace <SubscriptionID> with your Azure subscription ID.

    {
      "Name": "Azure Stack Hub registration role",
      "Id": null,
      "IsCustom": true,
      "Description": "Allows access to register Azure Stack Hub",
      "Actions": [
        "Microsoft.Resources/subscriptions/resourceGroups/write",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.AzureStack/registrations/*",
        "Microsoft.AzureStack/register/action",
        "Microsoft.Authorization/roleAssignments/read",
        "Microsoft.Authorization/roleAssignments/write",
        "Microsoft.Authorization/roleAssignments/delete",
        "Microsoft.Authorization/permissions/read",
        "Microsoft.Authorization/locks/read",
        "Microsoft.Authorization/locks/write"
      ],
      "NotActions": [
      ],
      "AssignableScopes": [
        "/subscriptions/<SubscriptionID>"
      ]
    }
    
  3. No PowerShell, conecte-se ao Azure para usar Azure Resource Manager.In PowerShell, connect to Azure to use Azure Resource Manager. Quando solicitado, autentique usando uma conta com permissões suficientes, como proprietário ou administrador de acesso do usuário.When prompted, authenticate using an account with sufficient permissions such as Owner or User Access Administrator.

    Connect-AzAccount
    
  4. Para criar a função personalizada, use New-AzRoleDefinition especificando o arquivo de modelo JSON.To create the custom role, use New-AzRoleDefinition specifying the JSON template file.

    New-AzRoleDefinition -InputFile "C:\CustomRoles\registrationrole.json"
    

Atribuir um usuário à função de registroAssign a user to registration role

Depois que a função personalizada de registro for criada, atribua a função à conta de usuário que será usada para registrar Azure Stack Hub.After the registration custom role is created, assign the role to the user account that will be used for registering Azure Stack Hub.

  1. Entre com a conta com a permissão suficiente na assinatura do Azure para delegar direitos — como proprietário ou administrador de acesso do usuário.Sign in with the account with sufficient permission on the Azure subscription to delegate rights—such as Owner or User Access Administrator.

  2. Em assinaturas , selecione controle de acesso (iam) > adicionar atribuição de função.In Subscriptions , select Access control (IAM) > Add role assignment.

  3. Em função , escolha a função personalizada que você criou: Azure Stack função de registro do Hub.In Role , choose the custom role you created: Azure Stack Hub registration role.

  4. Selecione os usuários que você deseja atribuir à função.Select the users you want to assign to the role.

  5. Selecione salvar para atribuir os usuários selecionados à função.Select Save to assign the selected users to the role.

    Selecione os usuários a serem atribuídos à função personalizada no portal do Azure

Para obter mais informações sobre como usar funções personalizadas, consulte gerenciar o acesso usando RBAC e o portal do Azure.For more information on using custom roles, see manage access using RBAC and the Azure portal.

Próximas etapasNext steps

Registrar Azure Stack Hub com o AzureRegister Azure Stack Hub with Azure