Criar uma função personalizada para o registro de Azure Stack Hub

Aviso

Esse não é um recurso de postura de segurança. Use-o em cenários em que você deseja restrições para impedir alterações acidentais na assinatura do Azure. Quando um usuário é delegado a direitos para essa função personalizada, o usuário tem direitos para editar permissões e elevar os direitos. Atribua somente usuários confiáveis à função personalizada.

durante Azure Stack registro de Hub, você deve entrar com uma conta do Azure Active Directory (AD do Azure). A conta requer as seguintes permissões do Azure AD e permissões de assinatura do Azure:

  • Permissões de registro de aplicativo em seu locatário do Azure AD: Os administradores têm permissões de registro do aplicativo. A permissão para os usuários é uma configuração global para todos os usuários no locatário. Para exibir ou alterar a configuração, consulte criar um aplicativo do Azure AD e uma entidade de serviço que pode acessar recursos.

    A configuração usuário pode registrar aplicativos deve ser definida como Sim para que você habilite uma conta de usuário para registrar Azure Stack Hub. Se a configuração registros do aplicativo estiver definida como não, você não poderá usar uma conta de usuário para registrar Azure Stack Hub--você precisa usar uma conta de administrador global.

  • Um conjunto de permissões de assinatura do Azure suficientes: Os usuários que pertencem à função de proprietário têm permissões suficientes. Para outras contas, você pode atribuir o conjunto de permissões atribuindo uma função personalizada conforme descrito nas seções a seguir.

Em vez de usar uma conta que tenha permissões de proprietário na assinatura do Azure, você pode criar uma função personalizada para atribuir permissões a uma conta de usuário com menos privilégios. Essa conta pode ser usada para registrar seu Azure Stack Hub.

Criar uma função personalizada usando o PowerShell

Para criar uma função personalizada, você precisa ter a permissão Microsoft.Authorization/roleDefinitions/write em todo AssignableScopes, como Microsoft.Authorization/roleDefinitions/write ou AssignableScopes. Use o modelo JSON a seguir para simplificar a criação da função personalizada. O modelo cria uma função personalizada que permite o acesso de leitura e gravação necessário para o registro de Azure Stack Hub.

  1. Crie um arquivo JSON. Por exemplo, C:\CustomRoles\registrationrole.json.

  2. Adicione o seguinte JSON ao arquivo. Substitua <SubscriptionID> por sua ID da assinatura do Azure.

    {
      "Name": "Azure Stack Hub registration role",
      "Id": null,
      "IsCustom": true,
      "Description": "Allows access to register Azure Stack Hub",
      "Actions": [
        "Microsoft.Resources/subscriptions/resourceGroups/write",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.AzureStack/registrations/*",
        "Microsoft.AzureStack/register/action",
        "Microsoft.Authorization/roleAssignments/read",
        "Microsoft.Authorization/roleAssignments/write",
        "Microsoft.Authorization/roleAssignments/delete",
        "Microsoft.Authorization/permissions/read",
        "Microsoft.Authorization/locks/read",
        "Microsoft.Authorization/locks/write"
      ],
      "NotActions": [
      ],
      "AssignableScopes": [
        "/subscriptions/<SubscriptionID>"
      ]
    }
    
  3. No PowerShell, conecte-se ao Azure para usar Azure Resource Manager. Quando solicitado, autentique usando uma conta com permissões suficientes, como proprietário ou administrador de acesso do usuário.

    Connect-AzAccount
    
  4. Para criar a função personalizada, use New-AzRoleDefinition especificando o arquivo de modelo JSON.

    New-AzRoleDefinition -InputFile "C:\CustomRoles\registrationrole.json"
    

Atribuir um usuário à função de registro

Depois que a função personalizada de registro for criada, atribua a função à conta de usuário que será usada para registrar Azure Stack Hub.

  1. Entre com a conta com permissão suficiente na assinatura do Azure para delegar direitos, como proprietário ou administrador de acesso do usuário.

  2. Em assinaturas, selecione controle de acesso (iam) Adicionar atribuição de função.

  3. Em função, escolha a função personalizada que você criou: Azure Stack função de registro do Hub.

  4. Selecione os usuários que você deseja atribuir à função.

  5. Selecione salvar para atribuir os usuários selecionados à função.

    Selecione os usuários a serem atribuídos à função personalizada no portal do Azure

Para obter mais informações sobre como usar funções personalizadas, consulte gerenciar o acesso usando RBAC e o portal do Azure.

Próximas etapas

Registrar Azure Stack Hub com o Azure